Frühling SAML Beispiel: SSOCircle SHA256 nicht unterstützt

Question

Ich versuche das Spring SAML Beispielprojekt mit SSOCircle und Standard Keystore. Nach dem Importieren der SP-Metadaten in SSOCircle funktionierte das SSO ordnungsgemäß.

Jetzt wollte ich den Verschlüsselungsalgorithmus von SHA-1 zu RSA SHA-256 ändern. So dehnte ich die SAMLBootstrap Klasse wie hier gezeigt:

public final class CustomSAMLBootstrap extends SAMLBootstrap { 

    @Override 
    public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException { 
     super.postProcessBeanFactory(beanFactory); 
     BasicSecurityConfiguration config = (BasicSecurityConfiguration) Configuration.getGlobalSecurityConfiguration(); 
     config.registerSignatureAlgorithmURI("RSA", SignatureConstants.ALGO_ID_SIGNATURE_RSA_SHA256); 
     config.setSignatureReferenceDigestMethod(SignatureConstants.ALGO_ID_DIGEST_SHA256); 
    } 

Auch hier ist die erweiterte Metadaten-Konfiguration

<!-- Extended metadata properties --> 
<bean id="extendedMetadataSP" class="org.springframework.security.saml.metadata.ExtendedMetadata"> 
    <property name="local" value="true"/> 
    <property name="securityProfile" value="metaiop"/> 
    <property name="sslSecurityProfile" value="pkix"/> 
    <property name="signingKey" value="apollo"/> 
    <property name="encryptionKey" value="apollo"/> 
    <property name="signMetadata" value="true" /> 
    <property name="signingAlgorithm" value="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256" /> 
    <property name="idpDiscoveryEnabled" value="true"/> 
    <property name="idpDiscoveryURL" value="${entityBaseURL}/saml/discovery"/> 
    <property name="idpDiscoveryResponseURL" value="${entityBaseURL}/saml/login?disco=true"/> 

</bean> 

Also habe ich die Metadaten über die org.springframework.security.saml.metadata.MetadataGenerator Bean regeneriert und versucht, die neu generierten neu laden SP xml. Obwohl SSOCircle mit 007 Fehlercode fehlschlägt.

An diesem Punkt bin ich nicht sicher, ob es ein für mich zu vervollständigen, um zusätzlichen Schritt ist sha256 auf SSOCircle zu benutzen?

Kann mir bitte jemand helfen?

EDIT:

Das Problem, das ich bin, wenn die Metadaten zu SSOCircle Hochladen glaube ich es mit dem EntityDescriptor Abschnitt zu tun hat, wo die Signatur algorith wie unten als SHA256 angegeben:

<?xml version="1.0"?> 
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> 
<ds:SignedInfo> 
    <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> 
    <ds:SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/> 
    <ds:Reference URI="#urn_com_apakgroup_bristol"> 
     <ds:Transforms> 
      <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/> 
      <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> 
     </ds:Transforms> 
     <ds:DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/> 
     <ds:DigestValue>mAT5iN6IWyTCQiPplFmOq4vu8SUzCBfpAC4XBOu2+eM=</ds:DigestValue> 
    </ds:Reference> 
</ds:SignedInfo> 
<ds:SignatureValue>i6hH............bA==</ds:SignatureValue> 
<ds:KeyInfo> 
    <ds:X509Data> 
     <ds:X509Certificate>MIIDZTCCA............eVdvh</ds:X509Certificate> 
    </ds:X509Data> 
</ds:KeyInfo> 
</ds:Signature> 

SignMetadata wurde auf false geändert, aber das macht keinen Unterschied.

<property name="signMetadata" value="false" /> 

SAML RESPONSE:

2016-09-13 15:03:06,786 DEBUG org.opensaml.xml.security.SigningUtil:115 - Computing signature over input using private key of type RSA and JCA algorithm ID SHA256withRSA 
2016-09-13 15:03:06,802 DEBUG org.opensaml.xml.security.SigningUtil:123 - Computed signature: 8b4...dfa9 
2016-09-13 15:03:06,802 DEBUG opensaml.saml2.binding.encoding.HTTPRedirectDeflateEncoder:251 - Generated digital signature value (base64-encoded) i0...== 
2016-09-13 15:03:06,803 DEBUG PROTOCOL_MESSAGE:74 - 
<?xml version="1.0" encoding="UTF-8"?><saml2p:AuthnRequest xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" AssertionConsumerServiceURL="http://localhost:8080/saml/SSO" Destination="https://idp.ssocircle.com:443/sso/SSORedirect/metaAlias/publicidp" ForceAuthn="false" ID="ac8eeg2j9d932hh4fe90fa71844e00" IsPassive="false" IssueInstant="2016-09-13T14:03:06.775Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Version="2.0"> 
    <saml2:Issuer xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">...[my-sp]...</saml2:Issuer> 
</saml2p:AuthnRequest> 

2016-09-13 15:03:06,803 DEBUG opensaml.ws.message.encoder.BaseMessageEncoder:56 - Successfully encoded message. 
2016-09-13 15:03:06,804 DEBUG springframework.security.saml.storage.HttpSessionStorage:93 - Storing message ac8eeg2j9d932hh4fe90fa71844e00 to session C17D8A94DED2F79BDD92CBF7A99462C6 
2016-09-13 15:03:06,805 INFO springframework.security.saml.log.SAMLDefaultLogger:127 - AuthNRequest;SUCCESS;0:0:0:0:0:0:0:1;...[my-sp]...;https://idp.ssocircle.com;;; 

Answer 1

Der Grund für error7 ist, dass die Signatur der Metadaten können nicht überprüft werden. Dies wird beschrieben unter: how-to section "Signierte Metadaten können zu Validierungsproblemen führen. Wir empfehlen, die Signatur als schnellste Problemumgehung zu entfernen."

Sie haben Meta-Datensignatur aktiviert:

<property name="signMetadata" value="true" /> 

es wiederum auf "false".