Shibboleth crittografia dell'attributo utente

5

In che modo Shibboleth garantisce che le terze parti non abbiano accesso agli attributi utente contenuti nell'asserzione SAML 2.0 scambiata tra IdP e SP?

È corretto che tutti gli attributi dell'utente siano crittografati quando vengono trasferiti da IdP a SP? Gli attributi dell'utente sono crittografati con una chiave simmetrica che è anche inclusa nell'asserzione ma crittografata con la chiave pubblica dell'SP?

    
posta niklr 21.08.2012 - 16:19
fonte

2 risposte

2

Il meglio che ho potuto trovare è stato qui:

link

Sembra che la sicurezza sia fornita da:

  • L'IdP limita ciò che dà all'SP in base a come verrà trasmesso

  • Sì, per le asserzioni SAML 2.0, IdP crittografa la sua risposta allo SP

Il modo in cui questo è scritto, sembra che la crittografia sia fornita in modo specifico sulle asserzioni SAML 2.0, non su tutto. E sto specificamente leggendo la documentazione di Shibboleth 2.0 in quanto sembra essere ciò che supporta SAML 2.0.

    
risposta data 06.09.2012 - 18:22
fonte
1

Non ho usato Shibboleth per un po ', quindi non sono sicuro che il caso sia sempre il seguente, ma ecco come ho usato Shibboleth in passato.

L'SP effettua una richiesta SAML (firmata) all'IdP, che viene propagato tra i due dal browser dell'utente. L'IdP fornisce una risposta SAML firmata, non necessariamente crittografata, con un identificatore. Alla ricezione, l'SP inoltra direttamente una richiesta di attributo all'IdP.

Questa connessione back-end viene solitamente eseguita tramite HTTPS e la connessione viene pertanto crittografata. Non va affatto attraverso il browser dell'utente, ma l'SP diventa un cliente diretto all'IdP. L'uso della crittografia a livello di messaggio su SSL / TLS qui non aggiungerebbe molto, se l'SP è autenticato correttamente, naturalmente, questo può essere fatto usando l'autenticazione del certificato client (configurato nel SP usando CredentialResolver IIRC).

Questo è rappresentato nei passaggi 6 e 7 in questo diagramma (Federazione del Regno Unito).

Potrebbero esserci leggere differenze nella configurazione del servizio attributo (solitamente eseguito sull'IdP e interrogato dall'SP) tra Shibboleth 1.xe Shibboleth 2.x . Questi servizi di attributo sono configurati insieme alle altre impostazioni IdP come parte dei metadati della federazione forniti agli SP.

Per quanto ne so, questo meccanismo è una delle specificità di Shibboleth, rispetto ad altri sistemi basati su SAML.

    
risposta data 12.09.2012 - 19:11
fonte

Leggi altre domande sui tag