OpenAM 如何验证来自 IDP 的 SAML 响应

How OpenAM verify SAML response coming from IDP

OpenAM 是否依赖已注册 IDP 的 public 密钥来验证 SAML 响应

或者还取决于来自 IDP 的 SAML 响应中的哈希算法 像算法="http://www.w3.org/2000/09/xmldsig#sha1"

注意 OpenAM 版本:13.0.0

作为 SAML SP 的 OpenAM 使用包含在 IdP 元数据的 KeyInfo 元素中的 public 密钥来验证 SAML 响应的签名。它使用 IdP 选择的签名算法,但它必须是受支持的签名算法。

在即将推出的 AM 版本中,AM 将(部分)实现 algsupport spec,并在签署 SAML 文档时考虑远程实体提供商的元数据。

这意味着作为托管实体提供商,AM 将检查远程实体提供商的首选签名和摘要方法,并将使用满足密钥类型和密钥大小要求的第一个算法。

这项工作已作为 OPENAM-11266 的一部分完成。