Ayer estuve chequeando… Se supone que si la firma esta en la URL, deberian haber claramente un parametro SigAlg que indique un algoritmo de encriptacion (usualemente SHA1 o SHA256) y un parametro más que se llama Sig cuyo valor es la firma en si. Ambos parametros se supone que son parte del estandar SAML y ninguno de ellos se encuentra en la URL.
Dicho eso, alguien tiene idea de como asegurarme que el IdP está usando los certificados correctos? Se supone que tengo un idp.crt y un arai-sync.key como claves publica y privada del IdP. He probado tratar de indicar al IdP que use dichos archivos, tambien he tratado usar la opcion certData y pegar la string del certificado en el metadata/saml20-sp-remote.php
Si alguien tiene conocimiento más profundo sobre como se supone que funciona el sistema de certificados y firma avise. Mientras tanto seguiré probando otras alternativas… (quiero intenter no tener que volver a generar certifiados en el IdP ya que no es mio y además ya está funcionando con otros SP que son del SIU, asi que supongo debe ser algo que se pueda solucionar solo tocando el sp-remote.php)
EDIT: Especificamente la URL luce como el siguiente ejemplo (si cieero sesion desde huarpe y no he abierto mi sitio):
https://desarrollo-arai-usuarios.unlam.edu.ar/idp/saml2/idp/SingleLogoutService.php?SAMLRequest=fZJRa8IwEMff%2FRSj77Zp2rQ1aGHgGAWnMMce9iJnc2qhTbpcOvz4q9UxlbE8hcv%2F97vkyJSgqVu5MHvTuVf87JDc6KFfx6bWJIfTmddZLQ1QRVJDgyRdKdePLwvJfSZba5wpTe3dYf9TQITWVUafsWI%2B81bLp8XquVhuSr4TOFFZEotdGkeqRMCUh6VSDIWANEyTOM227Iy%2Bo6XeM%2FN67UVG1GGhyYF2fZlxNmZ8zJK3UEjGpYg%2Bzrl5%2F9ZKgxvog3MtySBQSGCtqWszBgvVuKMObGXI73QNjY%2Bq88EGlWqD0yP5sFtXel%2FjeYZrtF9ViX57aL18aDM9BeVwKZv%2F0ebQN2jx1n9CggYdKHAwDa4NV85lP9ZinjeuV8EWL7lL9TfXyjXSaUaFVnjMN8B3CrdRBDzKxDZOkgx2gEnMVDRRkIkwjBIsYwEX4x0%2F%2BqnefJr8Gw%3D%3D&RelayState=http%3A%2F%2Fdesarrollo-huarpe.unlam.edu.ar%2Fsaml%2Flogout
Ahora si abri en algun momento mi sitio este es el LogoutRequest que le llega y rechaza porque no está firmado:
https://10.18.100.13/Saml2/logout?SAMLRequest=fVLbatwwEP0V43fbutiWLXYNgSWwkCZtt%2FShL8vYGiUCW3IlGfL5tb0NpIEGBBpGOjeNDgGmcZYP7tkt8Tv%2BXjDE5HUabZD7yTFdvJUOggnSwoRBxkFe7r48SJYTOXsX3eDG9B3kcwSEgD4aZ9PkfDqmV4SaE6hRcKE19rSitMWKqr7WmipSU9ZTFGwAlSY%2F0YcVeUxXohUewoJnGyLYuLYIIxlhGal%2F0EqSdYlfaXJa0xgLcUe9xDgHWRSU5LTJKVk3XlxWx6wY9%2Fhp8ujik33ydzqi%2F8hJyc7ZHbaQclf33RunwgDeu3F0GXgw2RIW8MaFfLEjTDmqJQdfGDUXYRfcqgkjKIiQzy%2FzoXjPepN4XB%2FvfEouX7fi2wKj0Waz9f8caXLv%2FATx8xFsHaMyvV%2BV0YMNBm1Mu6umvAXGBQjO26HHtq17oQgZSsVI23KoSlrqpqn4X783ize%2Fs7xg2OZztgpfuysF0dSlaEXTq0pwYJqBpoJSrlvdVFXf0H7Akg%2FiRvYB%2F9b852d2fwA%3D&RelayState=_4c0e026a59a922eb284d03b87cb7550755443e35fb
Lo mismo. SAMLRequest y RelayState.
No puedo hacer que el SP no pida LogoutRequests no firmadas ya que el autor de la libraria dice que va en contra del estandar SAML y es un riesgo de seguridad. Pero si se que SimpleSAML puede activar la firma de dichos mensajes.
EDIT4: Estuve tocando el saml20-sp-remote.php equivocado todo el tiempo… SLO funciona perfecto, y las LogoutRequest estan siendo firmadas. Mi ultimo problema es convenser a la libreria Sustainsys que “ejemplo.com/saml2/logout” es una URL no relativa asi el get_query no me tira error. Revisaré el mailing list de Sustainsys y si tengo éxito reportaré aqui.