SAML-Login-Demo (Echter Prozess)
Unten ist eine echte klickbare SAML 2.0 Web Browser SSO Demo, Identitätsanbieter ist Mock SAML IdP dieser Site. Nach Klick auf Test-Benutzer:
- Demo SP generiert
AuthnRequest(mit einzigartigeID); - Browser fordert Mock IdP an, IdP verifiziert Benutzer (Demo direkt angeben alice / bob, umgehe Benutzerauswahlseite) und stellt signierte SAML Response aus;
- Diese Seite dekodiert base64, extrahiert signierte
ResponseXML; - Validiere systematisch:
StatusCode,InResponseTo(verknüpft mit AuthnRequest),Audience,ConditionsGültigkeitsdauer, und nutze Assertion eingebettetes Zertifikat öffentlichen Schlüssel um Signatur zu validieren (RSA-SHA256); - Lese
NameIDund Attribute von Assertion.
Das Demo zeigt
- Signierte Assertion: IdP nutzt privaten Schlüssel um Assertion zu signieren, SP nutzt IdP Zertifikat um Signatur zu validieren, bestätigt Assertion wurde nicht manipuliert, stammt wirklich von vertrautem IdP.
InResponseToVerknüpfung: Zurückkommende Response verknüpft mit ursprünglicherAuthnRequestID, verhindert Assertion Falscher Zuordnung oder Wiedergabe (ähnlich OIDCstate).AudienceLimitation: Assertion erklärt sie ist nur für diesen SP (entityID) gültig, andere SPs können sie nicht verwenden.ConditionsGültigkeitsdauer:NotBefore/NotOnOrAfterlimitieren Assertion Gültigkeitszeitfenster.
Über Signatur-Verifizierung
SAML Signatur-Verifizierung in echten Systemen wird von SP Server durchgeführt, benötigt XML Normalisierung (exc-c14n). Das Demo validierte SignedInfo RSA-SHA256 Signatur im Browser; komplette Verifizierung braucht noch DigestValue Vergleich und Zertifikat Vertrauenskette —— diese Site Mock SP Konsole nutzte Industrie-Bibliothek xml-crypto für autoritäre Server Verifizierung.
Vergleichen Sie OIDC äquivalenter Prozess OIDC-Login-Demo.