dan*_*wig 5 signing shibboleth single-sign-on service-provider saml-2.0
我们的应用程序具有SAML2 SSO与3种不同(Shibboleth)IdP的集成.我们正在尝试添加第4个(也是Shibboleth),但遇到了一些问题,因为我们的应用程序希望所有SSO响应都可以验证签名.这些其他3个正在签署他们的回复,但第4个不是,并且犹豫是否添加自定义配置来强制执行我们的应用程序的签名.
从技术上讲,我可以修改我们的应用程序以接受未签名的SSO响应,但我想知道我是否应该.允许未签名的SSO响应有哪些缺陷?有安全漏洞吗?
是否有任何Shibboleth(或其他SAML2 SSO)文档建议将响应作为最佳实践进行签名?
遵循SAML 2.0规范的IdP的唯一要求是对断言进行数字签名(参见http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf - section 4.1.3.5).这足以说明来自IdP的SSO操作是否应该被与其联合的SP信任.
签署外部响应是可选的.它有一些安全方面的好处,例如阻止消息插入或修改(参见http://docs.oasis-open.org/security/saml/v2.0/saml-sec-中的 6.1.3/6.1.5节)考虑-2.0-os.pdf) - 但实际上它经常被省略,而不是依赖于SSL/TLS.
| 归档时间: |
|
| 查看次数: |
2665 次 |
| 最近记录: |