Adfs

Shibboleth SP 2 和 ADFS sha1 到 sha256

  • August 1, 2018

使用 shibboleth SP 2,我需要提前配置 ADFS(作為 IdP)選項卡 SHA-1 算法才能正常工作。

如果我在 ADFS SHA-256 雜湊算法中進行配置,我會在 ADFS 事件日誌中收到錯誤,即 SP 使用 SHA-1 算法進行響應。

我的堆棧 OpenSSH、Shibboleth、Debian (Stretch) 非常新,因此它可以使用 SHA-256 算法。我使用開箱即用的配置安裝所有 debian 的儲存庫。

我查閱了這個文件微軟的文件

我在 shibboleth文件中找到了這兩個屬性:

  • signingAlg (URI)(預設為 RSA-SHA1 的說明符)由 SP 生成的簽名的 XML 簽名簽名算法說明符。
  • digestAlg (URI)(預設為 SHA1 的說明符)

所以我在 ApplicationDefaults 節點中添加了我的 shibboleth2.xml 配置文件:

digestAlg="http://www.w3.org/2001/04/xmlenc#sha256" 
signingAlg="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"

之後,它適用於 ADFS 的兩種配置:SHA1 和 SHA256。

引用自:https://serverfault.com/questions/923439