如何验证ADFS加密的SAML响应(断言)

Question

我能够登录并通过HTTP-Redirect绑定接收SAMLResponse，我还能够使用privatekey进行解密，并能够检索声明。

我的问题仍然是，我们是否需要验证saml响应(ADFS)？如果它是如何做到这一点的话

是否需要使用IP(身份提供商)公钥？它将在IP(元数据)中可用吗？

我在以下请求参数中有SAML响应

SAMLResponse = base64(deflate(data)) signature = hashvalue sigAlg = sha256

如何验证？

Answer 1

是的，您还需要验证SAML响应的数字签名。这是因为加密是使用您的公共数据完成的，这对任何有权访问您的元数据的人都是可用的，并且不能保证它是由您的IdP生成的。

要验证您的IdP是否是生成SAMLResponse的那个人，您可以使用IdP公钥验证SAMLResponse的数字签名。这通常在IdP元数据中可用。