Proteja tokens SAML no nível da mensagem ativando a assinatura de asserção.
Antes de Iniciar
Antes de configurar assinatura para tokens SAML, é necessário
configurar ligações e conjuntos de políticas SAML para criar tokens
SAML como tokens de suporte à autenticação com proteção de integridade
em nível de mensagem. Para obter informações adicionais, leia sobre como
proteger mensagens utilizando SAML. Além disso, as ligações do SAML
anexadas devem ser ligações específicas de aplicativo, e não ligações
gerais. O algoritmo de conversão utilizado para assinar asserções do
SAML é diferente de outras partes assinadas, embora só um algoritmo
de conversão seja utilizado com ligações gerais.
Sobre Esta Tarefa
Esta tarefa aborda especificamente as etapas de como assinar digitalmente um token do SAML. Essa tarefa não aborda nenhum dos requisitos padrão do OASIS do Perfil do Token do SAML para sender-vouches do SAML ou tokens de acesso do SAML com referência às partes da mensagem que devem ser assinadas. Para assinar asserções do SAML, uma mensage-m SOAP deve incluir um elemento <wsse:SecurityTokenReference> no bloco de cabeçalho <wsse:Security>. O SecurityTokenReference (STR) é referido pela assinatura de mensagem que usa um elemento <ds:Reference>. A referência do token de segurança deve incluir um elemento <wsse:KeyIdentifier> com o valor ValueType, http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID,
ou http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID, especificando o identificador de asserção referido. O elemento <ds:Reference> deve incluir a URI do algoritmo de conversão do STR, http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsssoap-message-security-1.0#STR-Transform.
O uso da conversão do STR assegura que a própria asserção do SAML seja assinada, não apenas o elemento <wsse:SecurityTokenReference>.
Sigas estas
etapas de configuração para ativar a assinatura de tokens SAML no nível da
mensagem.
Evitar Problemas: A única maneira de incluir atributos customizados em um SAMLToken após a criação inicial, é usando um manipulador de retorno de chamada do atributo SAML. Embora seja possível incluir atributos no objeto SAMLToken usando o método SAMLToken.addAttribute, ele removerá a assinatura digital do token, se houver. Ele também não pode ser usado com tokens SAML criptografados ou com atributos criptografados.
gotcha