Shibboleth SP 2 和 ADFS sha1 至 sha256

tag-icon tag-icon adfs shibboleth
Shibboleth SP 2 和 ADFS sha1 至 sha256

使用 shibboleth SP 2,我需要提前配置 ADFS(作为 IdP)选项卡 SHA-1 算法才能正常工作。

如果我在 ADFS SHA-256 哈希算法中配置,我会在 ADFS 事件日志中收到错误,SP 使用 SHA-1 算法进行响应。

我的堆栈 OpenSSH、Shibboleth、Debian (Stretch) 非常新,因此可以使用 SHA-256 算法。我使用开箱即用的配置通过 debian 的存储库安装所有软件。

我咨询了这个文件微软的文档

答案1

我发现在口号中文档这两个属性:

  • signsAlg(URI)(默认为 RSA-SHA1 的说明符)SP 生成的签名的 XML 签名算法说明符。
  • digestAlg (URI)(默认为 SHA1 的说明符)

所以我在 ApplicationDefaults 节点中添加了我的 shibboleth2.xml 配置文件:

digestAlg="http://www.w3.org/2001/04/xmlenc#sha256" 
signingAlg="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"

之后,它可以与 ADFS 的两种配置一起使用:SHA1 和 SHA256。

相关内容