Projet

Général

Profil

Bug #29340

multiple AuthenticatingAuthority elements not allowed in SAML assertion

Ajouté par François Kooman il y a 3 mois. Mis à jour il y a 2 mois.

Statut:
Résolu (à déployer)
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
Début:
24 déc. 2018
Echéance:
% réalisé:

0%

Patch proposed:
Oui

Description

SAML Assertions with multiple AuthenticatingAuthority elements are not allowed in lasso, but are allowed according to the schema.

Attached patch fixes it, but I am not sure it is correct, nor am I completely sure this is the proper way to fix it.

lasso-fix-AuthenticatingAuthority.diff Voir (760 octets) François Kooman, 24 déc. 2018 18:06

Révisions associées

Révision 151ad17e (diff)
Ajouté par Benjamin Dauvergne il y a 2 mois

xml: adapt schema in saml2:AuthnContext (#29340)

saml2:AuthnContext XML schema indicate that AuthenticatingAuthority is
an optional unbounded list of nodes, but the current Lasso schema only
handle an unique element. To prevent Lasso from refusing perfectly legal
messages, we add a rule to the Lasso ignoring other nodes after the
first one.

Historique

#1 Mis à jour par Benjamin Dauvergne il y a 2 mois

This patch cannot work asyou modify the schema but not the structure, SNIPPET_LIST_NODES generate GList objects but the AuthenticatingAuthority is a char *, as we forbid any ABI change (i.e. it's forbidden to change the type of a structure field for now), you'll need to work as in commit 6f617027e9c46f3cb907e8bdbe1d3ef265d2b4d0.

#2 Mis à jour par Benjamin Dauvergne il y a 2 mois

  • Assigné à mis à François Kooman
  • Statut changé de Nouveau à Information nécessaire

#3 Mis à jour par Benjamin Dauvergne il y a 2 mois

  • Assigné à changé de François Kooman à Benjamin Dauvergne

#4 Mis à jour par Benjamin Dauvergne il y a 2 mois

  • Statut changé de Information nécessaire à Solution proposée

A temporary solution, just ignore other nodes after the first one, it does not offer new functionnalities but it prevents Lasso from refusing correct SAML messages.

#5 Mis à jour par Frédéric Péters il y a 2 mois

  • Statut changé de Solution proposée à Solution validée

Ack, but maybe add a comment on top of the snippet, to explain additional AuthenticatingAuthority are accepted but ignored?

#6 Mis à jour par Benjamin Dauvergne il y a 2 mois

  • Statut changé de Solution validée à Résolu (à déployer)

#7 Mis à jour par Benjamin Dauvergne il y a 2 mois

  • Version cible mis à 2.6.1

Formats disponibles : Atom PDF