sso saml_身份提供者使用加密并签名的SAML断言启动SSO

最新推荐文章于 2022-09-14 18:39:17 发布
最新推荐文章于 2022-09-14 18:39:17 发布
阅读量3.6k 收藏 2
点赞数
文章标签: java web python https javascript ViewUI
原文链接:https://www.ibm.com/developerworks/websphere/library/techarticles/1505_pal2/1505_pal2.html
版权

sso saml

假设您已经阅读了本系列的第一篇文章 ,那么本教程(第2部分)将不会重述Salesforce联合单点登录(SSO)的基础知识。 本教程主要侧重于如何使用由身份验证提供者发起的SSO,使用IBM®WebSphere DataPower(以下称为DataPower)对Salesforce实施,该SSO由加密并签名的SAML断言提供支持。 图1和图2展示了该解决方案的高层概述。

图1.身份提供商启动的SSO登录到Salesforce的概述
身份提供商启动的SSO登录到Salesforce的概述
图2.身份提供者启动的SSO登录过程
身份提供商启动的SSO登录过程

Force.com平台上的单点登录设置

本节提供了在Force.com平台中实施SSO设置的步骤。 如果您已经实现了本系列中的任何教程所说明的示例,则可能无需再次重复相同的步骤。 但是,请确保已配置此示例所需的其他设置。

步骤1:创建Salesforce用户帐户

  1. 首先,如果您尚未创建一个用户帐户(Salesforce管理员),则在Salesforce开发人员站点上 。 图3显示了Salesforce用户(开发人员版)的注册过程。
    图3. Salesforce用户帐户(Developer Edition)的创建
    Salesforce用户帐户(开发人员版)的创建
  2. 通过输入在注册过程中获得的凭据登录到Salesforce ,并创建另一个用户帐户。 确保输入如图4所示的联合身份验证ID,以启用该用户帐户的SSO登录。 图5显示了Salesforce用户详细信息页面。 本教程系列说明的示例使用以下示例用户帐户进行SSO设置。 我们强烈建议您不要启用您的组织的Salesforce管理员SSO功能,因为身份提供者(DataPower的)应用程序的任何中断将阻止所有管理有关的活动。

    用户ID: sdfc.user@sdfc.com
    联盟ID: sdfc.user@sso.sdfc.com

    图4.输入联合身份验证ID以启用SSO
    输入联盟ID以启用SSO
    图5. Salesforce上的用户帐户(标准平台用户)详细信息
    Salesforce上的用户帐户(标准平台用户)详细信息

步骤2:创建自签名或CA签名的证书

证书用于与外部身份提供者进行身份验证的SSO。 您需要此Salesforce证书来加密身份提供者端的SAML声明。 创建证书后,下载并将其保存到本地系统。 本教程系列说明的示例使用以下自签名证书(标签: Salesforce SSO ),如图6和图7所示。

图6. Salesforce的证书列表
Salesforce的证书列表
图7.自签名证书(标签:Salesforce SSO)详细信息页面
自签名证书(标签:Salesforce SSO)详细信息页面

步骤3:管理Salesforce网域

使用“我的域”,您可以定义自定义Salesforce域名。 此域名可以通过多种方式帮助您更好地管理组织的登录和身份验证。 有关域管理的详细信息,请参阅Salesforce文档 。 本教程系列说明的示例使用以下域名。 我们建议您为组织使用合适的域名。 示例域名的示例是https://dipak-sdfc-dev-ed.my.salesforce.com/

图8. Salesforce上的“我的域”概述
我在Salesforce上的域概述

步骤4:在Salesforce上设置SSO设置

  1. 以Salesforce管理员身份登录,然后转到设置>安全控制>单一登录设置 。 确保在“使用SAML联合单一登录”选项卡中选中了“ 启用S​​AML”复选框,然后单击“ SAML单一登录设置”选项卡中的“ 新建”按钮。 图9和图10显示了本教程使用的Salesforce SSO设置。 在Force.com平台上进行此SSO设置之前,请确保您已经创建了步骤5中描述的DataPower加密密钥和相关证书。
  2. 将DataPower证书上载为身份提供者证书 ,以便Force.com平台可以验证与SAML断言关联的签名。
  3. 将在步骤2中生成的自签名或CA签名证书用于“ 签名证书”和“ 断言解密证书”字段。 此签名证书主要用于服务提供商发起的SSO,其中SAML身份验证请求由该证书签名。 身份提供者(例如,DataPower)通过使用此Salesforce证书对SAML断言响应进行加密。 在颁发者实体ID字段中输入适当的值。 本教程中使用的SAML声明已加密,并且在Subject语句的NameIdentifier( NameID )字段中包含登录用户的联盟ID
  4. 保存SAML SSO设置后,记下Salesforce登录URL,例如: https://dipak-sdfc-dev-ed.my.salesforce.com?so=00DF0000000ghLC&sc=0LEF0000000Kytb : https://dipak-sdfc-dev-ed.my.salesforce.com?so=00DF0000000ghLC&sc=0LEF0000000Kytb
图9. Salesforce上的SAML SSO设置
Salesforce上的SAML SSO设置
图10. Salesforce上的SAML SSO设置详细信息
Salesforce上的SAML SSO设置详细信息

将DataPower配置为单一登录身份提供者

本部分显示如何开发必要的DataPower工件,该工件主要由HTTPS前端处理程序,包含所需处理策略规则的多协议网关和AAA策略组成。

步骤5:管理DataPower加密密钥

  1. 使用DataPower加密工具生成加密密钥和自签名(或CA签名)证书,如图11至13所示,这是安全HTTP(SSL)连接和签名生成所必需的。
  2. 创建证书后,请从temporary://目录下载证书。 如果您已经实现了本教程系列的第1部分中所示的示例,则可以重复使用相同的加密配置。 确保配置加密证书并导入在步骤2中下载的Salesforce证书,这是加密SAML断言所必需的。
    图11.本示例中使用的DataPower加密密钥
    本示例中使用的DataPower加密密钥
    图12.本示例中使用的DataPower加密证书
    本示例中使用的DataPower加密证书
    图13.配置加密证书并导入Salesforce证书
    配置加密证书并导入Salesforce证书
  3. 创建一个加密标识凭证,并添加DataPower加密密钥(图14),这是SSL设置所必需的。
    图14.使用DataPower加密密钥配置加密标识凭证
    使用DataPower加密密钥配置加密标识凭证
  4. (可选)创建一个加密验证凭据并添加客户端(例如,浏览器)证书,如图15所示。如果您不强制执行SSL客户端证书验证,则可能不需要加密验证凭据。 您也可以选择添加Salesforce证书,此示例不需要此证书。 但是,如果您实施服务提供商发起的SSO来验证SAML身份验证请求中包含的签名,则将需要它。
    图15.配置加密验证凭证
    配置加密验证凭证
  5. 创建一个加密配置文件,并添加加密标识凭证和加密验证凭证(可选),如图16所示。
    图16.配置一个加密配置文件
    配置加密配置文件
  6. 使用反向 SSL方向(图17)创建一个SSL代理配置文件,并使用在上一步中创建的加密配置文件。
    图17.配置SSL代理配置文件
    配置SSL代理配置文件

步骤6:创建HTTPS前端处理程序

创建一个HTTPS前端处理程序(图18)以接受来自浏览器的SSO请求。

图18.配置一个HTTPS前端处理程序
配置HTTPS前端处理程序

步骤7:创建多协议网关

创建具有动态后端路由的多协议网关(图19)。 确保为请求和响应数据类型选择“ 非XML ”以处理HTTP表单数据和HTML数据。 下一步(步骤8)描述了多协议网关策略的详细信息。

图19.配置多协议网关
配置多协议网关

步骤8:创建多协议网关策略

  1. 使用以下处理规则创建一个多协议网关策略。
    • 第一条规则:此规则处理来自浏览器的favicon.ico请求(图20)。

      方向:客户端到服务器。

      1. 动作:比赛
        匹配类型: URL
        网址匹配: /favicon.ico
      2. 行动:高级[设置变量]
        变量名称: var://service/mpgw/skip-backside
      3. 变量分配: 1
      4. 行动:结果
        图20.用于处理来自浏览器的favicon.ico请求的多协议网关策略规则
        多协议网关策略规则,用于处理来自浏览器的favicon.ico请求
    • 第二条规则:该规则处理来自浏览器的SSO登录请求,该请求是由用户通过输入DataPower SSO登录URL发起的(图21)。
      图21.多协议网关策略规则,用于处理来自浏览器的SSO登录请求
      多协议网关策略规则,用于处理来自浏览器的SSO登录请求

      方向:客户端到服务器。

      1. 动作:比赛
        匹配类型: URL
        URL匹配: /sso/salesforce/login 注意:根据组织的标准使用适当的URL。
      2. 动作: AAA

        按照步骤9中所述创建AAA策略。

      3. 行动:变形(图22)

        使用清单1中所示的教程的下载部分中提供的XSLT( remove-specific-attribute.xsl )从<SubjectConfirmationData>元素中删除@NotBefore属性,因为Salesforce SAML断言验证器框架不允许该属性。

        图22.在转换操作中使用XSLT从SAML断言XML中删除属性
        在转换操作中使用XSLT从SAML断言XML中删除属性
        清单1. XSLT [remove-specific-attribute.xsl]从SAML断言XML中删除特定属性 
        <?xml version="1.0" encoding="utf-8"?>
<xsl:stylesheet version="1.0" extension-element-prefixes="dp"
 exclude-result-prefixes="dp" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" 
xmlns:dp="http://www.datapower.com/extensions"> 
<xsl:output method="xml" version="1.0" encoding="UTF-8" indent="no"/>
 <xsl:strip-space elements="*"/>
 <xsl:template match="@* | node()">
 <xsl:copy>
 <xsl:apply-templates select="@* | node()"/>
 </xsl:copy>
 </xsl:template>
 <xsl:template match="/*[namespace-uri()='urn:oasis:names:tc:SAML:2.0:protocol' and 
local-name()='Response']/*[namespace-uri()='urn:oasis:names:tc:SAML:2.0:assertion' and 
local-name()='Assertion']/*[namespace-uri()='urn:oasis:names:tc:SAML:2.0:assertion' and 
local-name()='Subject']/*[namespace-uri()='urn:oasis:names:tc:SAML:2.0:assertion' 
and local-name()='SubjectConfirmation']/*[namespace-uri()
='urn:oasis:names:tc:SAML:2.0:assertion' and local-name()
='SubjectConfirmationData']/@NotBefore"/>
</xsl:stylesheet>
      4. 行动:加密

        此操作通过使用Salesforce证书对SAML声明进行加密。 通过指定以下XPATH(清单2)来创建文档加密图,如图23和图24所示。

        清单2.用于文档加密映射的XPATH 
        /*[namespace-uri()='urn:oasis:names:tc:SAML:2.0:protocol' and
 local-name()='Response']/*[namespace-uri()='urn:oasis:names:tc:SAML:2.0:assertion' and
 local-name()='Assertion']
        图23.加密SAML断言
        加密SAML断言
        图24.用于加密的文档加密映射
        文档加密图进行加密
      5. 动作:标志

        该操作对加密的SAML断言XML进行签名(图25)。 使用清单3中的以下XPATH。

        清单3. SAML断言XML中的XPATH需要签名 
        /*[namespace-uri()='urn:oasis:names:tc:SAML:2.0:protocol' and local-name()='Response']
        图25. Sign SAML断言XML
        签名SAML断言XML
      6. 行动:变形(图26)

        身份验证成功后,此Transform Action会生成一个HTML页面,该页面包括带有HTTP POST ActionHTML FORM,并包含以base-64编码的SAML断言XML作为隐藏参数。 图36显示了成功认证后DataPower响应的示例HTML页面。 使用清单4中所示的XSLT( SSO-Generate-HTML-Idp.xsl ),并且该教程在“ 下载”部分中也提供了该XSLT。 确保使用在步骤4中获得的适当的Salesforce登录URL(XSLT变量: sdfcLoginURL )更新XSLT。

        图26. XSLT转换以生成HTML响应
        XSLT转换以生成HTML响应
        清单4. XSLT [SSO-Generate-HTML-Idp.xsl]生成HTML页面 
        <?xml version="1.0" encoding="UTF-8"?>
<xsl:stylesheet version="1.0" extension-element-prefixes="dp" 
exclude-result-prefixes="dp" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" 
xmlns:dp="http://www.datapower.com/extensions">
 <xsl:output method="html" omit-xml-declaration="yes"/>
 <xsl:template match="/">
 <xsl:param name="sdfcLoginURL" 
select="'https://dipak-sdfc-dev-ed.my.salesforce.com?so=00DF0000000ghLC
&amp;sc=0LEF0000000Kytb'"/>
 <xsl:variable name="signedSamlSerialized">
 <dp:serialize select="/" omit-xml-decl="yes"/>
 </xsl:variable>
 <xsl:variable name="base64Samldata" 
select="dp:encode($signedSamlSerialized,'base-64')"/>
 <html>
 <head>
 <title>Login to Salesforce</title>
 <meta http-equiv="Cache-Control" content="no-cache"/>
 <meta http-equiv="Pragma" content="no-cache"/>
 <meta http-equiv="Expires" content="-1"/>
 <meta http-equiv="X-UA-Compatible" content="IE=8"/>
 <style type="text/css">
.body{background-color: #3EB1D0;}
.data{
	 background-color: #C6EDEC;
	 margin-top: 10%;
	 margin-left: 20%;
	 margin-right: 20%;
	 font-family: verdana;	
	 color: #0A6DA8;
 }
.headline{font-size: 50px;}
.button{
	 background-color: #F5DAA3;
	 color: #0D75AA;
	 font-size: x-large;
 }
</style>
 </head>
 <body class="body">
 <div align="center" class="data">
 <div>
 <form method="POST" enctype="application/x-www-form-urlencoded">
 <xsl:attribute name="action">
 <xsl:value-of select="$sdfcLoginURL"/>
 </xsl:attribute>
 <div class="headline">
 <i><b>Salesforce Login</b></i>
 </div>
 <div><h2>Welcome<span><i><b>
<xsl:value-of select="dp:variable('var://context/WSM/identity/username')"/></b></i>
 </span></h2></div>
 <div>
 <h4>
 <p>Clicking Submit button will redirect you to Salesforce home page</p>
   <p>Please contact <a href="mailto:support@example.com">support@example.com</a>
 if you experience any issues during Salesforce Login</p></h4>
 </div>
 <div>
 <input type="hidden" name="idpConfig.recipient">
 <xsl:attribute name="value">
 <xsl:value-of select="$sdfcLoginURL"/>
 </xsl:attribute>
 </input>
 <input type="hidden" name="SAMLResponse">
 <xsl:attribute name="value">
 <xsl:value-of select="$base64Samldata"/>
 </xsl:attribute>
 </input>
 <input type="hidden" name="RelayState">
 <xsl:attribute name="value">
 <xsl:value-of select="''"/>
 </xsl:attribute>
 </input>
 </div>
 <br/>
 <div>
 <input class="button" type="submit" name="submit" value="Login to Salesforce"/>
 </div>
 <br/>
 </form>
 </div>
 </div>
 </body>
 </html>
</xsl:template></xsl:stylesheet>
      7. 行动:高级[设置变量](见图27)
        变量名称: var://service/mpgw/skip-backside
        变量分配: 1
        图27.跳过后端路由的高级操作
      8. 行动:结果(图28)
        图28.结果操作
        结果动作

步骤9:创建AAA策略

  1. 创建AAA策略以对用户的凭据进行身份验证,并通过成功的身份验证生成SAML声明。 本教程说明的示例使用基本的HTTP身份验证方法,并使用清单5中所示的DataPower AAA信息文件验证用户的凭据。但是,您可以根据组织的标准实施适当的身份验证方法。 图29至32描述了此AAA策略配置的详细信息。 如果您已经实现了该系列的第1部分中所示的示例,则可以直接使用相同的AAA策略,而无需进行任何更改。
    图29. AAA操作
    AAA行动
    图30. AAA策略–从请求中提取身份
    AAA策略–从请求中提取身份
    图31. AAA策略–验证用户
    AAA策略–验证用户
    图32. AAA策略–授权请求
    AAA政策–授权请求
  2. 配置AAA访问控制策略,以在身份验证成功后生成SAML声明响应。 图33显示了启用SAML声明的AAA访问控制策略页面。 确保使用从Salesforce SSO设置( 步骤4 )配置的相同SAML颁发者值(例如https://datapowersso.ibm.com/)。 另外,在AAA Access Control Policy页面的SAML Audience字段中,从Salesforce SSO设置( 步骤4 )设置Entity ID值。 将Salesforce登录URL用于SAML收件人和响应目标字段。 创建一个SAML属性定义,如图34所示。
    图33. AAA策略-生成SAML断言响应
    AA策略–生成SAML断言响应
    图34. AAA策略– SAML属性
    AAA策略– SAML属性
    清单5.示例AAA策略信息文件 
    <?xml version="1.0" encoding="utf-8"?>
<AAAInfo xmlns="http://www.datapower.com/AAAInfo">
 <FormatVersion>1</FormatVersion>
 <Filename>local:///AAAInfoPolicy.xml</Filename>
 <Summary>AAA Policy Info XML file</Summary>
 <Authenticate>
 <Username>dipakpal</Username>
 <Password>dipakpal-password</Password>
      <OutputCredential>dipakpal@sso.sdfc.com</OutputCredential>
 </Authenticate>
 <Authenticate>
 <Username>sdfc.user</Username>
 <Password>sdfc-password</Password>
      <OutputCredential>sdfc.user@sso.sdfc.com</OutputCredential>
 </Authenticate>
 <Authenticate>
      <CustomToken>https://dipak-sdfc-dev-ed.my.salesforce.com</CustomToken>
 <OutputCredential>saml.auth.request.issuer</OutputCredential>
 </Authenticate>
 <Authenticate>
 <DN>CN=Alice, O=DataPower, L=Cambridge, ST=MA, C=US</DN>
 <OutputCredential>admin</OutputCredential>
 </Authenticate>
 <Authenticate>
 <IPHost>127.0.0.1</IPHost>
 <OutputCredential>admin</OutputCredential>
 </Authenticate>
 <Authenticate>
 <IPHost>::1</IPHost>
 <OutputCredential>admin</OutputCredential>
 </Authenticate>
 <Authenticate>
 <Username>guest</Username>
 <Password>guest</Password>
 <OutputCredential>user</OutputCredential>
 </Authenticate>
 <Authorize>
      <InputCredential>dipakpal@saml.sdfc.com</InputCredential>
 <InputResource>/sso/*</InputResource>
 <Access>allow</Access>
 </Authorize>
 <Authorize>
      <InputCredential>sdfc.user@sso.sdfc.com</InputCredential>
 <InputResource>/sso/*</InputResource>
 <Access>allow</Access>
 </Authorize>
 <Authorize>
 <InputCredential>saml.auth.request.issuer</InputCredential>
 <InputResource>/sso/*</InputResource>
 <Access>allow</Access>
 </Authorize>
 <Authorize>
 <InputCredential>guest</InputCredential>
 <InputResource>/sso/salesforce</InputResource>
 <Access>deny</Access>
 </Authorize>
 <Authorize>
 <InputCredential>admin</InputCredential>
 <InputResource>/sso/salesforce</InputResource>
 <Access>allow</Access>
 </Authorize>
 <Authorize>
 <InputCredential>
 <Version>3</Version>
 <SerialNumber>0</SerialNumber>
 <SignatureAlgorithm>sha1WithRSAEncryption</SignatureAlgorithm>
 <Issuer>C=US, ST=MA, L=Cambridge, O=DataPower, CN=Alice</Issuer>
 <NotBefore>2002-11-23T01:15:33Z</NotBefore>
 <NotAfter>2012-11-23T01:15:33Z</NotAfter>
 <Subject>C=US, ST=MA, L=Cambridge, O=DataPower, CN=Alice</Subject>
 <SubjectPublicKeyAlgorithm>rsaEncryption</SubjectPublicKeyAlgorithm>
 <Extensions/>
 </InputCredential>
 <InputResource>/sso/*</InputResource>
 <Access>allow</Access>
 </Authorize>
</AAAInfo>

步骤10:测试单点登录

在Web浏览器中输入您的身份提供者(DataPower)SSO登录URL(例如, https://<dp-host:port>/sso/salesforce/login ),如图35所示。成功认证后,DataPower会以以下方式回复一个SSO重定向(HTTP POST绑定)页面,如图36所示,该页面包括带有HTTP POST操作HTML FORM,并包含base-64编码的SAML断言XML作为隐藏参数。 它要求用户通过单击“ 登录到Salesforce”按钮来提交HTML页面,这会导致向Salesforce登录URL提交HTTP POST请求(例如, https://dipak-sdfc-dev-ed.my.salesforce.com?so=00DF0000000ghLC&sc=0LEF0000000Kytb )。

图35.用户通过Web浏览器尝试SSO登录
用户通过Web浏览器尝试SSO登录
图36.成功认证后的SSO重定向(HTTP POST绑定)页面
成功认证后的SSO重定向(HTTP POST绑定)页面

SAML断言包含来自身份提供者的联合身份验证ID(例如sdfc.user@sso.sdfc.com )。 Salesforce使用SAML断言中针对DataPower证书的嵌入式签名来验证消息的完整性,该证书已在SSO设置过程中上载。 成功进行签名验证后,它将解密加密的断言并处理SAML断言语句,提取并验证联合身份验证ID,并在成功验证过程后重定向到登录页面。 图37显示了成功登录SSO后的示例Salesforce登录页面。

图37.成功登录SSO后的销售目标页面
成功登录SSO后的销售着陆页

步骤11:调试和故障排除指南

我们假设您熟悉常见的DataPower调试和故障排除技术,因此本教程将主要侧重于Salesforce。

您可以使用Google Chrome中的 Developer Tools捕获base64编码的SAML断言数据,如图38和图39所示。尽管您可以从HTML页面源获取此数据,但是使用Google ChromeInternet Explorer中的 Developer Tools可以帮助您分析HTTP事件,包括其请求/响应标头和数据结构。 您可以使用任何在线工具(例如http://www.string-functions.com/base64decode.aspx )解码(以64为基数)此数据,以获取SAML断言XML。 清单6显示了此示例生成的样本加密并签名的SAML断言XML。

图38.在Google Chrome中启动开发人员工具
在Google Chrome中启动开发人员工具
图39.从HTML捕获base-64编码的SAML断言XML
从HTML捕获base-64编码的SAML断言XML
清单6.示例SAML断言XML(经过加密和签名) 
<samlp2:Response Version="2.0" ID="SAML-12b7a404-a031-4ecf-a163-5aaaa553774b"
 IssueInstant="2014-07-27T23:45:17Z"
 Destination="https://dipak-sdfc-dev-ed.my.salesforce.com?so=00DF0000000ghLC"
 xmlns:samlp2="urn:oasis:names:tc:SAML:2.0:protocol">
 <saml2:Issuer
 xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
https://datapowersso.ibm.com/</saml2:Issuer>
   <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
 <SignedInfo>
 <CanonicalizationMethod
 Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
         <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
 <Reference URI="#SAML-12b7a404-a031-4ecf-a163-5aaaa553774b">
 <Transforms>
 <Transform
 Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
               <Transform Algorithm=">http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
 </Transforms>
            <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
 <DigestValue>yC4KceSHBpKIEUicoDd53aflPME=</DigestValue>
 </Reference>
 </SignedInfo>
 <SignatureValue>jG2bMMDWAwE8hiolqtqRihlZvR0dy/HgVgYE5fFge3nRmDNShw5EaSETLYpLiRJQeV
Xwbkdb1uO+NiUDvakT1LOx9M2VRVv............................</SignatureValue>
 <KeyInfo>
 <X509Data>
 <X509Certificate>MIIDtzCCAp+gAwIBAgIIAhBEWantyAswDQYJKoZIhvcNAQEFBQAwQjELMAk
GA1UEBhMCVVMxDDAKBgNVBAoTA0lCTTEMMA.............................</X509Certificate>
 <X509IssuerSerial>
 <X509IssuerName>CN=DATAPOWER-SDFC, OU=GBS, O=IBM, C=US</X509IssuerName>
 <X509SerialNumber>148693939596937227</X509SerialNumber>
 </X509IssuerSerial>
 </X509Data>
 </KeyInfo>
 </Signature>
 <samlp2:Status>
 <samlp2:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
 </samlp2:Status>
 <saml2:EncryptedAssertion xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
      <xenc:EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element"
 xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
 <xenc:EncryptionMethod
 Algorithm="http://www.w3.org/2001/04/xmlenc#tripledes-cbc/>
         <dsig:KeyInfo xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">
 <xenc:EncryptedKey Recipient="name:Salesforce-SSO-Cert">
 <xenc:EncryptionMethod
 Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
 <dsig:KeyInfo>
 <dsig:KeyName>Salesforce-SSO-Cert</dsig:KeyName>
 </dsig:KeyInfo>
 <xenc:CipherData>
 <xenc:CipherValue>ZkliWyMXhrCR+67rKLeEsF5YJqm0q0vDch3RfYgAaMQgW4tXWUZT
DjXzZusu3b6d7jGWb7R2MJV9WDszbhQqNz4uIWN............................</xenc:CipherValue>
 </xenc:CipherData>
 </xenc:EncryptedKey>
 </dsig:KeyInfo>
 <xenc:CipherData>
 <xenc:CipherValue>dpzato9nnC3SGhdckfu6eG3PdN+PwcUNWdmiNVduGhktoeVbSeIVUICw9H
N5KSm8YsCdsSLf+HhVa6dRBdR5NgJKV26ZFh57V58jc0RT34lVNOLKF2JqT72KUdxWpBt0NSzEq4bZA3tu/ho+4o
VOCK/IFGk0zjJ/FHa2gA9v1ocWpU7UOpGsZsr9............................</xenc:CipherValue>
 </xenc:CipherData>
 </xenc:EncryptedData>
 </saml2:EncryptedAssertion>
</samlp2:Response>

以管理员身份登录到Salesforce,并验证base-64编码的SAML声明,以检查SSO身份提供程序(DataPower)是否生成了Salesforce期望的正确SAML声明。 图40至43显示了使用Force.com SAML断言验证器框架进行的SAML断言验证。

图40.在Salesforce中启动SAML断言验证器框架
v
图41.将base-64编码的SAML断言输入到Salesforce SAML Validator中
将base-64编码的SAML断言输入到Salesforce SAML验证程序中
图42.在Salesforce SAML验证器中成功的SAML断言验证
在Salesforce SAML验证程序中成功进行SAML断言验证
图43.带有过期时间戳的无效SAML断言
时间戳过期的无效SAML声明

在测试SSO登录时,您可以从Salesforce管理员的单独登录中查看Force.com上的登录历史记录。 图44显示了Force.com网站上的登录历史记录页面,该页面可以帮助您解决SSO登录失败。

图44. Force.com的登录历史记录页面
Force.com上的登录历史记录页面

结论

Salesforce用户较少的组织可能不需要此单点登录解决方案,因为他们可以继续使用标准的Salesforce登录过程。 但是,拥有大量Salesforce用户的组织可以通过为其所有内部应用程序以及基于云和外部应用程序(Force.com)实施基于DataPower的SSO基础结构来利用此解决方案,该应用程序使用外部支持联邦身份管理SSO身份提供者。

要继续本系列,请参阅以下教程:

翻译自: https://www.ibm.com/developerworks/websphere/library/techarticles/1505_pal2/1505_pal2.html

sso saml

cuxiong8996
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
aliyun saml 证书及密匙
qq_35340951的博客
06-24 719
-----BEGIN CERTIFICATE----- MIIDqzCCApOgAwIBAgIJAMZA6Y8yxGk2MA0GCSqGSIb3DQEBCwUAMGwxCzAJBgNV BAYTAmNuMQowCAYDVQQIDAFnMQswCQYDVQQHDAJzejELMAkGA1UECgwCc3oxCzAJ BgNVBAsMAnN6MRcwFQYDVQQDDA4xOTIuMTY4LjEzMC42NzERMA8GCSqGSIb3DQEJ ARYCMjIwHhcNMjAwNjI0MDY0NDU2WhcNM
sso saml_使用签名SAML断言实现服务提供商发起的SSO
cuxiong8996的博客
07-01 2961
本教程系列的第3部分重点介绍了使用IBM®WebSphere DataPower(以下称为DataPower)作为身份提供者,并通过签名SAML断言来实现对Salesforce的服务提供者发起的单一登录(SSO)。 图1和图2代表了该解决方案的高层概述。 本教程没有概述第1部分中已经介绍过的Salesforce联合SSO的基础知识。 图1.服务提供商启动SSO登录到Salesforce...
SAML断言生成的问题
大海小鱼的专栏
05-28 1876
不知道原因的saml的createassertion总是出现问题,提示没有的方法,org.apache.xml.serializer.encoding类中已经加入了,并且可以找到,运行报的错误是could not find the main class Java Virtual Machine Launcher的错误。     查了很久也没又找到解决的方法:最后在高人指点下加入了-Djava.e
通过高级加密标准(AES)和安全断言标记语言(SAML)在Web上的安全性
寒冰屋的专栏
04-22 797
目录 密码 高级加密标准(AES) 加密钥(AddRoundKey): 替换字节(SubBytes): 混合列(MixColumns): 移位行(Shift Rows): 我的解决方案在Web上拥有更多安全性 我的解决方案的更多描述 如何使用和实现代码 如何测试应用程序 安全断言标记语言(SAML) 请求目标资源 重定向到SSO服务 请求SSO服务 使用XHTML...
什么是 SAML 断言
yuzijiang11111的博客
04-22 572
SAML协议的核心功能包括断言断言语句允许系统进行跨域的交互操作,支持为网站创建单点登录(SSO)和基于属性的用户身份认证等服务。SAMLSSO平衡了用户体验的便捷性和对Web应用的精细化权限控制。
django-saml2-auth:简化Django SAML2身份验证。 轻松与Okta等SAML2 SSO身份提供商集成
02-05
SAML2是一种标准协议,允许身份提供者(Identity Provider, IdP)如Okta,与服务提供者(Service Provider, SP)进行单点登录(Single Sign-On, SSO)集成。Django-saml2-auth库简化了在Django项目中配置和使用SAML2...
SSO.rar_启用SSO登录_打开本地程序并输入账号密码登录
09-20
2. **服务提供者(Service Provider, SP)**:这些是需要用户访问的应用或系统。它们依赖于IDP来确认用户的身份,而无需直接处理用户的登录信息。 3. **协议支持**:常见的SSO协议有SAML(Security Assertion ...
sso.rar_IIS ad java_iis_sso_sso IIS_单点登录
09-23
标题 "sso.rar_IIS ad java_iis_sso_sso IIS_单点登录" 提供的信息表明,这个压缩包包含的是关于IIS(Internet Information Services)与Java环境下的Active Directory(AD)单点登录(Single Sign-On, SSO)的实现...
aws-google-auth:提供基于Google Apps SAML SSO身份验证的AWS STS凭证(真是令人费解!)
01-30
SAML(Security Assertion Markup Language)是一种标准,它允许身份提供者(如Google Apps)向服务提供者(如AWS)传递身份验证和授权信息。SAML SSO使得用户只需登录一次(例如,登录Google账户),就能访问多个...
cas_sso.rar_CAS_CAS SSO_cas文档_sso C_单点登录
最新发布
09-24
CAS(Central Authentication Service,中央认证服务)是一种广泛使用的开源身份验证框架,旨在提供一种安全的单点登录(Single Sign-On,SSO)解决方案。SSO允许用户通过一次登录,就能访问多个相互信任的应用系统...
基于SAML 2.0 SSO单点登录
01-23
基于SAML 2.0 SSO单点登录,包括VS2005,VS2008,VS2010。有部分Java代码。含文档。 client发送saml请求---sso响应验证client是否可信任---可信响应saml----加密saml---发送到client---client解密成功--验证信息是否有效----有效----登录成功
高级加密标准 (AES) 和安全断言标记语言 (SAML) 的 Web 安全
sonadorje的专栏
07-24 528
拥有更安全的渠道在整个网络上传输用户信息的最佳方法 下载源代码 - 1.1 MB 密码学 网络上的大多数问题都与安全问题以及在网络中保存和传输敏感数据有关。所以我们必须在它上面提供一个安全的系统。在网络中建立安全连接的最流行和最实用的方法是加密技术。加密技术是加密和解密数据以确保数据安全的过程。例如,在下图中,Bob 想要向 Alice 发送数据。此数据称为加密过程的消息和输入参数。然后将具有加密功能的特定密钥添加到此消息中并生成密文,即我们的加密消息,因此此消息通过网络,黑客正在等待窃取此数据。
利用java自带的base64实现加密、解密
晨港飞燕的专栏
05-13 392
[java] view plain copy   package com.stone.util;      import java.io.UnsupportedEncodingException;      import sun.misc.*;      public class Base64 {       // 加密       public static St
WebLogic平台的Web SSOSAML)解决方案
javasogo
05-12 663
  SSO(Single Sign-On)即所谓的单点登录。用户在一处登录后访问其他网站时不需要再次输入用户名和口令,即可完成身份验证。   文章《体验WebLogic Server 8.1 SP4新增功能之WebLogic Single Sign-On》(http://dev2dev.bea.com.cn/techdoc/200507499.html)中介绍了使用WLS8.1 SP4版本中...
SSO实现之SAML-1.SAML初识
liyx0822的专栏
06-18 4391
SSO实现之SAML-1.SAML初识   1.   SSO        实现SSO有很多种方式: 1、  Cookie 2、  CAS 3、  OpenId 4、  OAuth 5、 SAML 6、  … 2.    理论        SAML (Security AssertionMarkup Language) 安全断言标记语言,是基于X
走进SAML——基础篇
义臻的博客
11-08 3167
SAML的全称是Security Assertion Markup Language。提到SAML,我们主要想到的是其在各种单点登录场景中大行其道。单点登录我们通常叫做SSO,那么SAML到底是如何实现SSO的呢?在这个系列的文章中,我将为大家阐释清楚。不过,水是有源的,树是有根的。一切的一切,还得从非对称密码学谈起! 密码学新方向 1976年,两个斯坦福大学的杰出学者,在经过了三年的合作之后......
认证和授权系列主题:SAML2.0入门指南
Larry的博客
02-26 3400
本文转自:登高且赋 SAML,全称为Security Assertion Markup Language,是一种用于安全性断言的标记预压,目前的最新版本是2.0。原文地址 本系列相关文章:OAuth2.0 协议入门指南OpenID Connect 协议入门指南OpenSAML示例 SAML在单点登录中大有用处:在SAML协议中,一旦用户身份被主网站(身份鉴别服务器,Identity Provider,IDP)认证过后,该用户再去访问其他在主站注册过的应用(服务提供者,Service Provider
浅谈SAML, OAuth, OpenID和SSO, JWT和Session
weixin_33725722的博客
07-05 1481
前言 通常为了弄清楚一个概念,我们需要掌握十个概念。在判断 JWT(JsonWebToken) 是否能代替 session 管理之前,我们要了解什么是 token,以及 access token 和 refresh token 的区别。 了解什么是 OAuth,什么是 SSOSSO 下不同策略 OAuth 和 SAML 的不同,以及 OAuth 与 OpenID 的不同,更重要的是区分 aut...
SSO单点登录,实现对接SAML 协议对接IDP, 实现可拆解的SP服务
每天码一点
09-14 7330
​ 主流的单点登录有 CAS ,Auth2.0, SAML 等,用户可以登录一次就直接使用多个SP(Service Provider 业务提供方)的服务,免去了每个应用都要登录的烦恼,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值