[我正在尝试使用WebView通过https://<adfs_domain>/adfs/ls/idpinitiatedsignon提取SAMLResponse断言。问题在于未对SAMLResponse声明进行签名,并且该签名未包含在声明中。
因此,我无法验证SAML断言。由于它是IDP发起的流程,因此我们已经为ADFS配置了ADFS签名证书。
此外,我们还在ADFS中设置以下属性:SamlResponseSignature = AssertionOnly
<samlp:Response ID="_255ada50-94a5-493a-9234-0e9801f0a994" Version="2.0" IssueInstant="2020-03-09T13:27:11.297Z" Destination="https://mobile_app/login" Consent="urn:oasis:names:tc:SAML:2.0:consent:unspecified"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">http://adfs_domain/adfs/services/trust</Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
<Assertion ID="_0d711b58-e28a-4315-976d-5a4ec6abb3ab" IssueInstant="2020-03-09T13:27:11.297Z" Version="2.0"
xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<Issuer>http://adfs_domain/adfs/services/trust</Issuer>
<Subject>
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">[email protected]</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData NotOnOrAfter="2020-03-09T13:32:11.297Z" Recipient="https://mobile_app/login" />
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2020-03-09T13:27:11.297Z" NotOnOrAfter="2020-03-09T14:27:11.297Z">
<AudienceRestriction>
<Audience>https://doamin/mobile/platform/sso/exchange-token</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.xmlsoap.org/claims/CommonName">
<AttributeValue>[email protected]</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress">
<AttributeValue>[email protected]</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.xmlsoap.org/claims/Group">
<AttributeValue>Domain Users</AttributeValue>
</Attribute>
</AttributeStatement>
<AuthnStatement AuthnInstant="2020-03-09T13:27:11.155Z" SessionIndex="_0d711b58-e28a-4315-976d-5a4ec6abb3ab">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
</samlp:Response>
我非常怀疑您会收到未签名的断言。您应该使用AD FS服务器的令牌签名证书对令牌进行签名。您应该在https://adfs_fqdn/federationmetadata/2007-06/federationmetadata.xml处发布的联合元数据中看到证书的详细信息。您可以使用https://adfshelp.microsoft.com/MetadataExplorer/ShowFederationMetadata轻松查看已发布的详细信息。
您可以使用https://adfshelp.microsoft.com/ClaimsXray/TokenRequest之类的东西来测试AD FS返回的有效负载是什么样的。然后,您可以发送SAML登录,该登录将使用idp启动的流,并且您将看到AD FS返回的原始有效负载。然后,您可以根据需要切换SamlResponseSignature并查看返回的令牌。