SAML 响应的签名验证失败
Signature validation failed for SAML Response
我已经使用 Identity Server 配置了 ADFS。我有一个来自 ADFS 的签名证书,该证书已导入到身份服务器中。我还适当地更改了 IdpAlias 属性。但是,在使用 travelocity.com 应用程序时出现以下错误。
严重:发生错误
org.wso2.carbon.identity.sso.agent.exception.SSOAgentException:SAML 响应的签名验证失败
在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.validateSignature(SAML2SSOManager.java:483)
在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processSSOResponse(SAML2SSOManager.java:227)
在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processResponse(SAML2SSOManager.java:145)
在 org.wso2.carbon.identity.sso.agent.SSOAgentFilter.doFilter(SSOAgentFilter.java:89)
在 org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240)
在 org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
在 org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:212)
在 org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:106)
在 org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:502)
在 org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:141)
在 org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:79)
在 org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:616)
在 org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:88)
在 org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:528)
在 org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1099)
在 org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:670)
在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1520)
在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1476)
在 java.util.concurrent.ThreadPoolExecutor.runWorker(来源不明)
在 java.util.concurrent.ThreadPoolExecutor$Worker.run(未知来源)
在 org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
在 java.lang.Thread.run(来源不明)
2016 年 8 月 1 日11:34:39上午org.apache.catalina.core.StandardWrapperValve调用
严重:Servlet.service() for servlet [jsp] 在路径 [/travelocity.com] 的上下文中抛出异常 [SAML 响应的签名验证失败],其根本原因
org.wso2.carbon.identity.sso.agent.exception.SSOAgentException:SAML 响应的签名验证失败
在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.validateSignature(SAML2SSOManager.java:483)
在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processSSOResponse(SAML2SSOManager.java:227)
在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processResponse(SAML2SSOManager.java:145)
在 org.wso2.carbon.identity.sso.agent.SSOAgentFilter.doFilter(SSOAgentFilter.java:89)
在 org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240)
在 org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
在 org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:212)
在 org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:106)
在 org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:502)
在 org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:141)
在 org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:79)
在 org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:616)
在 org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:88)
在 org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:528)
在 org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1099)
在 org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:670)
在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1520)
在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1476)
在 java.util.concurrent.ThreadPoolExecutor.runWorker(来源不明)
在 java.util.concurrent.ThreadPoolExecutor$Worker.run(未知来源)
在 org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
在 java.lang.Thread.run(来源不明)
原因是,ADFS 将响应发送到 Identity Server,并在其中使用其私钥对响应进行签名。然后 Identity Server 验证来自您在 IDP 配置中输入的 public 证书的响应。
然后发生的事情是,Identity Server 创建它自己的 SAML 响应并发送到 travelocity 应用程序。在服务提供商配置中,如果您启用了响应签名,Identity Server 会使用其私钥对 SAML 响应进行签名。
对于 travelocity,您必须导出身份服务器的 public 证书并将其导入到 travelocity 应用程序的密钥库 (wso2carbon.jks) 文件中。然后在 travelocity.properties 文件中,您必须更改 IDPCertAlias 属性 给出 Identity Server public 证书的别名。
那么应该可以了。
基本上,travelocity 对 ADFS 一无所知。只有 Identity Server 知道。 travelocity 只知道身份服务器。
我已经使用 Identity Server 配置了 ADFS。我有一个来自 ADFS 的签名证书,该证书已导入到身份服务器中。我还适当地更改了 IdpAlias 属性。但是,在使用 travelocity.com 应用程序时出现以下错误。
严重:发生错误 org.wso2.carbon.identity.sso.agent.exception.SSOAgentException:SAML 响应的签名验证失败 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.validateSignature(SAML2SSOManager.java:483) 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processSSOResponse(SAML2SSOManager.java:227) 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processResponse(SAML2SSOManager.java:145) 在 org.wso2.carbon.identity.sso.agent.SSOAgentFilter.doFilter(SSOAgentFilter.java:89) 在 org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240) 在 org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207) 在 org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:212) 在 org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:106) 在 org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:502) 在 org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:141) 在 org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:79) 在 org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:616) 在 org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:88) 在 org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:528) 在 org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1099) 在 org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:670) 在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1520) 在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1476) 在 java.util.concurrent.ThreadPoolExecutor.runWorker(来源不明) 在 java.util.concurrent.ThreadPoolExecutor$Worker.run(未知来源) 在 org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) 在 java.lang.Thread.run(来源不明)
2016 年 8 月 1 日11:34:39上午org.apache.catalina.core.StandardWrapperValve调用 严重:Servlet.service() for servlet [jsp] 在路径 [/travelocity.com] 的上下文中抛出异常 [SAML 响应的签名验证失败],其根本原因 org.wso2.carbon.identity.sso.agent.exception.SSOAgentException:SAML 响应的签名验证失败 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.validateSignature(SAML2SSOManager.java:483) 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processSSOResponse(SAML2SSOManager.java:227) 在 org.wso2.carbon.identity.sso.agent.saml.SAML2SSOManager.processResponse(SAML2SSOManager.java:145) 在 org.wso2.carbon.identity.sso.agent.SSOAgentFilter.doFilter(SSOAgentFilter.java:89) 在 org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240) 在 org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207) 在 org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:212) 在 org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:106) 在 org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:502) 在 org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:141) 在 org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:79) 在 org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:616) 在 org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:88) 在 org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:528) 在 org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1099) 在 org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:670) 在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1520) 在 org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1476) 在 java.util.concurrent.ThreadPoolExecutor.runWorker(来源不明) 在 java.util.concurrent.ThreadPoolExecutor$Worker.run(未知来源) 在 org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61) 在 java.lang.Thread.run(来源不明)
原因是,ADFS 将响应发送到 Identity Server,并在其中使用其私钥对响应进行签名。然后 Identity Server 验证来自您在 IDP 配置中输入的 public 证书的响应。
然后发生的事情是,Identity Server 创建它自己的 SAML 响应并发送到 travelocity 应用程序。在服务提供商配置中,如果您启用了响应签名,Identity Server 会使用其私钥对 SAML 响应进行签名。
对于 travelocity,您必须导出身份服务器的 public 证书并将其导入到 travelocity 应用程序的密钥库 (wso2carbon.jks) 文件中。然后在 travelocity.properties 文件中,您必须更改 IDPCertAlias 属性 给出 Identity Server public 证书的别名。
那么应该可以了。
基本上,travelocity 对 ADFS 一无所知。只有 Identity Server 知道。 travelocity 只知道身份服务器。