Spring Security SAML: принимать только подписанные ответные сообщения SAML от IDP ⇐ JAVA

[Anonymous]

Мы используем Spring Security SAML (v1.0.3) в нашем Java-приложении для единого входа SAML с IDP.
Требование: принимать только подписанные ответные сообщения SAML от IDP. Если ответ SAML не подписан, выдается исключение.
Фактический результат: даже если информация о подписи полностью отсутствует в ответное сообщение для входа в систему SAML, оно принимается, и библиотека SAML Spring Security не генерирует исключение.
Наблюдения:
< ol>
[*]Если в ответном сообщении SAML Login присутствует неверная информация о подписи, то выдается правильное исключение.
[*]Для сообщений о выходе у нас есть свойства requireLogoutRequestSigned и requireLogoutResponseSigned в генераторе расширенных метаданных, который контролирует, будут ли подписываться запрос и ответ на выход из системы.
[*]Для сообщения ответа на вход в систему у нас есть свойство WantAssertionSigned< /code>, который указывает, требует ли SP подписанных утверждений или нет.

Вопросы:
< ul>
[*]Q1: Есть ли какое-либо свойство или подход в среде Spring Security SAML, который позволяет SP принимать только подписанный ответ на вход в систему (на уровне сообщения) от IDP?
[*]Вопрос 2: Насколько я понимаю, подписание ответного сообщения SAML и утверждения SAML — это две разные вещи. Это правильно? Свойство WantAssertionSigned включает только подписанные утверждения, но не сообщение.


Подробнее здесь: https://stackoverflow.com/questions/517 ... s-from-idp