Estoy firmando mis solicitudes SAML de esta manera:
private static void ConfigureSigningCert(this Saml2Configuration saml2Configuration, IAppSettings appSettings, IHostingEnvironment environment)
{
var certPath = Path.Combine(environment.ContentRootPath, appSettings.Saml2.SigningCertificateFile);
var cert = CertificateUtil.Load(certPath, appSettings.Saml2.SigningCertificatePassword);
saml2Configuration.SigningCertificate = cert;
saml2Configuration.SignAuthnRequest = true;
}
Es más o menos como se explica que debe hacerse en el documentación oficial.
Sin embargo, mi autenticación SAML funciona con o sin este bit de firma. No estoy seguro de si necesito hacer alguna configuración adicional en el extremo IdP para implementar esto correctamente. Esperaba que dejara de funcionar una vez que habilité la firma en la configuración (y hasta que hice una configuración adicional en el IdP), así que supongo que eso es lo que me confunde.
¿Quizás es simplemente una especie de verificación de seguridad de ida y vuelta y no se necesita ninguna intervención/configuración adicional en el lado del IdP para que la solicitud de firma funcione? La otra opción es que lo configuré mal y por eso funciona.
Una pregunta adicional: ¿cómo me aseguro/valido que la firma está funcionando?
Actualización: Estoy configurando el RP. El IdP es un Mini complemento naranja de WordPress a los que tengo acceso en términos de configuración de los detalles, como el emisor, la URL de devolución de llamada, la firma/cifrado de respuesta… Pero no tengo permitido hacer modificaciones importantes en la instancia de WP o el complemento. El cliente quería que implementáramos la firma de solicitudes cuando se le preguntó al respecto (como una capa adicional de seguridad) e incluso hizo un esfuerzo adicional para pedirle a Mini Orange que lo admitiera en el complemento que supuestamente hicieron (obtuvimos una actualización del complemento el otro día), pero no estoy seguro de si estoy entendiendo mal el protocolo o si realmente no admitieron la solicitud de inicio de sesión en Mini Orange, incluso con la actualización del complemento.
¡Gracias!
.