2012年1月7日土曜日

OpenAM 9.5  SAML2.0 認証要求、アサーションの署名設定

OpenAM 9.5 SAML2.0認証の設定」で構築したSPとIdPを使用したSAML2.0認証において、以下のプロトコルに対して署名する(Artifactバインディングが前提)。
●SPからIdPへの認証要求
●SPからIdPへのアサーション要求
●IdPからSPへのアサーション応答


(1)SP側の設定(署名設定)
①管理コンソールにログインし、「連携」タブを押下する。SPのホストエンティティを選択し、「表明コンテンツ」タブにおいて、以下を設定する。
要求/応答署名
署名する要求/応答のチェックボックスを選択
認証要求が署名されました:
表明が署名されました:
POST 応答が署名されました :
アーティファクト応答が署名されました:
ログアウト要求が署名されました:
ログアウト応答が署名されました:
名前 ID 要求の管理が署名されました:
名前 ID 応答の管理が署名されました:

また、署名で使用する証明書のエイリアス名を設定する。
証明書エイリアス

上記を入力した後、「保存」ボタンを押下する


(2)IdP側の設定(署名設定)
①管理コンソールにログインし、「連携」タブを押下する。IdPのホストエンティティを選択し、「表明コンテンツ」タブにおいて、以下を設定する。
要求/応答署名
署名する要求/応答のチェックボックスを選択
認証要求:
アーティファクト解決処理:
ログアウト要求:
ログアウト応答 :
名前 ID 要求の管理:
名前 ID 応答の管理:

また、署名で使用する証明書のエイリアス名を設定する。
証明書エイリアス

上記を入力した後、「保存」ボタンを押下する。


(3)SP側の設定(IdPのメタデータの再インポート)
①管理コンソールにログインし、「連携」タブにおいて、登録済みのIdPのエンティティプロバイダをを削除する。


②「共通タスク」タブにおいて、「リモートアイデンティティプロバイダの登録」をクリックし、IdPのメタデータを再登録する。


③「連携」タブを押下し、再作成したIdPのエンティティプロバイダが以下のように設定されていることを確認する。
要求/応答署名
署名する要求/応答のチェックボックスを選択
認証要求:
アーティファクト解決処理:
ログアウト要求:
ログアウト応答 :
名前 ID 要求の管理:
名前 ID 応答の管理:



また、「連携」タブにおいて、トラストサークルにIdPとSPの両方が設定されていることを確認する。もしIdPが登録されていない場合にはトラストサークルにIdPを追加する。


(4)IdP側の設定(SPのメタデータの再インポート)
①管理コンソールにログインし、「連携」タブにおいて、登録済みのSPのエンティティプロバイダをを削除する。


②「共通タスク」タブにおいて、「リモートサービスプロバイダの登録」をクリックし、SPのメタデータを再登録する。


②「連携」タブを押下し、再作成したSPのエンティティプロバイダが以下のように設定されていることを確認する。
要求/応答署名
署名する要求/応答のチェックボックスを選択
認証要求が署名されました:
表明が署名されました:
POST 応答が署名されました :
アーティファクト応答が署名されました:
ログアウト要求が署名されました:
ログアウト応答が署名されました:
名前 ID 要求の管理が署名されました:
名前 ID 応答の管理が署名されました:



また、「連携」タブにおいて、トラストサークルにIdPとSPの両方が設定されていることを確認する。もしSPが登録されていない場合にはトラストサークルにSPを追加する。



【実機確認で採取したプロトコル】
◎SP→IdP 認証要求
SAMLRequest=nVRLj5swEL7vr0C%2BJzzyILESJJqoaqRty4a0h968ZuhaApt6zG7239cmbETVFVrlwGU8nvleZoOsrhqatuZJHuFPC2g871xXEml3siWtllQxFEglqwGp4TRPv97TaBrQRiujuKrI3WG%2FJRhFsJgV64CFYRnE8%2FViHpdLDqvlInyc2WpUzldRHM8j4v0EjULJLbFjiHdAbOEg0TBpbCkIo0kQToL4FCzpLKaL9S%2Fi7S00IZnpbj0Z01DfVw1YUNNXhq37plzVdLYKVkF%2F4uf59yMUQgM3fg2GpZVg6IuiId5npTl0vLekZBWCg5ExRPEM10rWE%2FwkZCHk73E1Hi9NSL%2BcTtkk1UaUjBvipYigHe6dktjWoHPQz4LDj%2BP9KJNoyOTt7oAGNiS52zibaCegHhg3jpS9ISLJB%2Fdv%2FMGefmtDv9nJh32mKsFfb4mNM6FmZrzbVUQxKbtW2rjgoAFphc0zB%2BChZZUoBegPi2ktqSr1stPAjPXa6BZIcmH4L6cr0f5pQNEFxnph4GxuIbxTdcO0QBdiOLt4JBcHh4N3lTXoCOUtfo62ccrdaFt2QX9RunABt48DipNmEhulTe%2F0e3iuGr0rhxXL%2F%2F9vkvwF&RelayState=s22e53d90a11f0749547f6ce8651b30a12f4827742&SigAlg=http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1


◎SP→IdP アサーション要求

<soap-env:Envelope xmlns:soap-env="http://schemas.xmlsoap.org/soap/envelope/"><soap-env:Body><samlp:ArtifactResolve xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Destination="http://openam.yasuyasu.com:38080/openam/ArtifactResolver/metaAlias/idp" ID="s289c17ed1a094fa1bbfc340f5dda659e641fa7f03" IssueInstant="2012-01-07T06:38:04Z" Version="2.0"><saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://openam.yasuyasu.com:28080/openam</saml:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#s289c17ed1a094fa1bbfc340f5dda659e641fa7f03">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>XSl41MgGm6dPdYZdxLYo23ndjLU=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>
R/20dcqRDLcH6r9y/AGiTbwcx8VL9aTi41OvgEKFSvXlI8k2F0V7KvBjE0W4lBNQ0nX2adKMdwGe
P/b8+vV0iaba0Hx28N/e2+arrEpxRTZWTi5cIBdOzuvPWVUIKFBXmbJQTAAUe5/YSl+FLHqRQ7Lw
SmRoudxLw8QzKmJvTYc=
</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>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</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
<samlp:Artifact>AAQAAD20UPOCqN1ilTMkzO1QBZpwma0r3fX6NOJjDLHDqQR7C4PTzRymMDE=</samlp:Artifact></samlp:ArtifactResolve></soap-env:Body></soap-env:Envelope>



◎IdP→SP アサーション応答

<soap-env:Envelope xmlns:soap-env="http://schemas.xmlsoap.org/soap/envelope/"><soap-env:Body><samlp:ArtifactResponse xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Destination="http://openam.yasuyasu.com:28080/openam/Consumer/metaAlias/sp" ID="s28a88148286d50fc15f42fbf44dec784e2b64e026" InResponseTo="s289c17ed1a094fa1bbfc340f5dda659e641fa7f03" IssueInstant="2012-01-07T06:38:04Z" Version="2.0"><saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://openam.yasuyasu.com:38080/openam</saml:Issuer><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#s28a88148286d50fc15f42fbf44dec784e2b64e026">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>PK4FZWgBQE+dVdSCSqwlacNco6A=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>
rQxjqgFGU1CbG3wpGEP42Ck/RRtmiYJfAZ8Wt8XILZNEYmYdgmgpnGI7MisrOmwJ+vPkfHW0LDk5
TSTAP8OGqvPWUhlXqljVm6t3hrTrhgf8Qud1wdHu4iqKilm6aIToDhygV+5xy1XP3PFA2d31KFqU
BTiysq0R7fZUtYEgxIE=
</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>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</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature><samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success">
</samlp:StatusCode>
</samlp:Status><samlp:Response Destination="http://openam.yasuyasu.com:28080/openam/Consumer/metaAlias/sp" ID="s2db60675ae6c572dd2ed11dfd14fb33305c6f0dcf" InResponseTo="s22e53d90a11f0749547f6ce8651b30a12f4827742" IssueInstant="2012-01-07T06:38:04Z" Version="2.0"><saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://openam.yasuyasu.com:38080/openam</saml:Issuer><samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success">
</samlp:StatusCode>
</samlp:Status><saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="s2f30cd4e3269ad72cf11c2bfdac792f5ba8ce9aaf" IssueInstant="2012-01-07T06:38:04Z" Version="2.0">
<saml:Issuer>http://openam.yasuyasu.com:38080/openam</saml:Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#s2f30cd4e3269ad72cf11c2bfdac792f5ba8ce9aaf">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>8G596aPjgB7kcFe1SQXI3dLfd9Q=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>
A5CHLIMbZMaOC8PtVnPcLSC0t+YVkqpkm/jG97MZFWARk6PCUUss3hj7PBUt2/MDE/d62BXMuayR
hqEPkqH/4mAV5yQHrKxMuRGCZOEN0uRm+8Zly7m0PN/fSFgNDdYdFUQYzJ/bYjZsUDQ2gUGOF/px
AHHCAAf0pCiqovhkAwk=
</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>
MIICQDCCAakCBEeNB0swDQYJKoZIhvcNAQEEBQAwZzELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNh
bGlmb3JuaWExFDASBgNVBAcTC1NhbnRhIENsYXJhMQwwCgYDVQQKEwNTdW4xEDAOBgNVBAsTB09w
ZW5TU08xDTALBgNVBAMTBHRlc3QwHhcNMDgwMTE1MTkxOTM5WhcNMTgwMTEyMTkxOTM5WjBnMQsw
CQYDVQQGEwJVUzETMBEGA1UECBMKQ2FsaWZvcm5pYTEUMBIGA1UEBxMLU2FudGEgQ2xhcmExDDAK
BgNVBAoTA1N1bjEQMA4GA1UECxMHT3BlblNTTzENMAsGA1UEAxMEdGVzdDCBnzANBgkqhkiG9w0B
AQEFAAOBjQAwgYkCgYEArSQc/U75GB2AtKhbGS5piiLkmJzqEsp64rDxbMJ+xDrye0EN/q1U5Of+
RkDsaN/igkAvV1cuXEgTL6RlafFPcUX7QxDhZBhsYF9pbwtMzi4A4su9hnxIhURebGEmxKW9qJNY
Js0Vo5+IgjxuEWnjnnVgHTs1+mq5QYTA7E6ZyL8CAwEAATANBgkqhkiG9w0BAQQFAAOBgQB3Pw/U
QzPKTPTYi9upbFXlrAKMwtFf2OW4yvGWWvlcwcNSZJmTJ8ARvVYOMEVNbsT4OFcfu2/PeYoAdiDA
cGy/F2Zuj8XJJpuQRSE6PtQqBuDEHjjmOQJ0rV/r8mO1ZCtHRhpZ5zYRjhRC9eCbjx9VrFax0JDC
/FfwWigmrW0Y0Q==
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" NameQualifier="http://openam.yasuyasu.com:38080/openam" SPNameQualifier="http://openam.yasuyasu.com:28080/openam">fdnShhUunBzV4YXtq4U+i8/c+IG6</saml:NameID><saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData InResponseTo="s22e53d90a11f0749547f6ce8651b30a12f4827742" NotOnOrAfter="2012-01-07T06:48:04Z" Recipient="http://openam.yasuyasu.com:28080/openam/Consumer/metaAlias/sp"/></saml:SubjectConfirmation>
</saml:Subject><saml:Conditions NotBefore="2012-01-07T06:28:04Z" NotOnOrAfter="2012-01-07T06:48:04Z">
<saml:AudienceRestriction>
<saml:Audience>http://openam.yasuyasu.com:28080/openam</saml:Audience>
</saml:AudienceRestriction>
</saml:Conditions>
<saml:AuthnStatement AuthnInstant="2012-01-07T06:38:04Z" SessionIndex="s2c6ace7559ca861778dbf69a601d00969ee9de901"><saml:AuthnContext><saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef></saml:AuthnContext></saml:AuthnStatement></saml:Assertion></samlp:Response></samlp:ArtifactResponse></soap-env:Body></soap-env:Envelope>

0 件のコメント: