fun*_*a68 36 saml opensaml saml-2.0
我已经看到了一系列关于如何通过重定向在身份提供商(IdP),服务提供商(SP)和浏览器之间传递的流程图.但是现在我似乎没必要,所以我知道我错过了什么.
有人可以为我提供一个用例,与不使用SAML工件相比,需要(或非常有用)SAML工件?
谢谢.
Sco*_* T. 67
通常,工件绑定的目的是通过浏览器本身减少SAML消息的流量.这可能是由于浏览器限制(对查询字符串/ POST有效负载大小有限制的浏览器)或不支持JavaScript(对于自动提交的表单),甚至是为了改进SAML消息传输的安全模型.通过使用工件,通过SAML断言/属性语句传送的敏感数据不会通过浏览器传递,因此可以隐藏最终用户或站点与最终用户之间的攻击者.这些机密数据只能通过反向通道查找在站点之间直接解析.
SAML 2.0 Bindings规范的第3.6.2节最好地总结了它:
HTTP Artifact绑定适用于SAML请求者和响应者需要使用HTTP用户代理作为中介进行通信的情况,但中介的限制排除或阻止通过它传输整个消息(或消息交换).这可能是出于技术原因,或者是因为不愿意将消息内容暴露给中介(并且如果使用加密是不切实际的).请注意,由于需要使用其他同步绑定(例如SOAP)随后解析工件,因此SAML消息发送方和接收方之间必须存在与工件传输相反方向的直接通信路径(消息和工件的接收方必须能够将请求发送回工件发行者).
dsu*_*and 29
Expanding on Scott T's answer, the SAML Artifact Profile was designed to improve security. To prevent a user from modifying it's SAML Assertion mid-traffic (such as changing Username, roles, etc), SAML 2.0 suggests that developers sign assertions via XML signatures. XML Signatures though are extremely vulnerable to XML wrapping attacks because of issues in every languages existing XML parsers. Visit https://www.usenix.org/conference/usenixsecurity12/breaking-saml-be-whoever-you-want-be to see XML wrapping attacks in action against SAML Assertions.
SAML工件配置文件通过创建一次性使用"工件"来解决此问题,该工件由用户(通过重定向或发布)传递给服务提供者,而不是SAML断言.当服务提供商收到一次性使用工件时,它会向身份提供商的工件解析服务(ARS)发送SAML工件解析请求(包含工件).然后,ARS使用SAML工件响应(包含用户的SAML断言)进行响应,从而防止用户修改SAML断言,因为服务提供商通过反向信道直接接收SAML断言.
| 归档时间: |
|
| 查看次数: |
37645 次 |
| 最近记录: |