关于此任务
此项任务具体描述了如何以数字方式签署 SAML 令牌的步骤。此项任务未描述与必须签署的消息部件相关的 SAML sender-vouches 或 SAML 不记名令牌的任何 SAML 令牌概要文件 OASIS 标准需求。要签署 SAML 声明,SOAP 消息必须在 <wsse:Security> 头块中包括 <wsse:SecurityTokenReference> 元素。SecurityTokenReference
(STR) 由使用 <ds:Reference> 元素的消息签名所引用。安全性令牌引用必须包括 ValueType 值为 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLID 或 http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.0#SAMLAssertionID 的 <wsse:KeyIdentifier> 元素,以指定引用的声明标识。<ds:Reference> 元素必须包括 STR 变换算法的 URI (http://docs.oasis-open.org/wss/2004/01/oasis-200401-wsssoap-message-security-1.0#STR-Transform)。
使用 STR 变换可确保签署 SAML 声明本身,而不仅仅签署 <wsse:SecurityTokenReference> 元素。
请遵循这些配置步骤以在消息级别启用签署 SAML 令牌。
避免故障: 使用 SAML 属性回调处理程序是在初始创建时向 SAMLToken 添加定制属性的唯一方式。尽管可使用 SAMLToken.addAttribute 方法向 SAMLToken
对象添加属性,仍将移除令牌上存在的数字签名。同时,无法将其与加密 SAML 令牌或加密属性配合使用。
gotcha