Autenticazione SAML automatizzata senza interazione dell'utente

Naviga le tue risposte
3

Mi è richiesto di integrare il mio sito web con l'autenticazione SAML, in modo che ogni accesso effettuato al mio sito Web, le credenziali saranno convalidate da un idp specifico (noto in anticipo)

Anche dopo aver letto molti articoli a riguardo, Incl. la documentazione tecnica ufficiale, ho molte domande aperte:

  1. Può essere automatizzato? Il mio sito Web è l'SP e so a quali IDP devo autenticarmi, posso in qualche modo lasciare il mio sito così com'è, e usare le credenziali già inserite e autenticarle di fronte all'IDP? In qualche modo, faccio l'autenticazione personalmente nel back-end, invece di reindirizzare l'utente? È in qualche modo simile a ECP (Enhanced Proxy)? È diverso meccanismo tra shibboleth, Okta o seguono lo stesso protocollo e lo stesso comportamento?

  2. Tutti i server supportati da IDP sono uguali? Oppure puoi decidere qual è il metodo di autenticazione che gli piace usare?

  3. Supponendo che il n. 1 sia possibile, come posso autenticare che la risposta che ho ricevuto è effettivamente da chi afferma di essere (evitare MITM)?
posta buddy123 06.03.2016 - 13:53
fonte

1 risposta

2

Alcune risposte parziali:

1.1. Quando sai (dal tipo di informazioni? Accetti solo un IDP per tutti gli utenti?) Quale IDP usare, usalo. È possibile saltare l'indirezione tramite DiskoJuice o un'altra IDP choser.

1.2. Effettuare autonomamente l'autenticazione sfida lo scopo dell'utilizzo di SAML. Puoi invece eseguire l'autenticazione di base tramite https.

  1. Non necessariamente. Ogni IDP può scegliere qualsiasi sorftware che desidera utilizzare. È stato risolto solo il protocollo.

  2. Con SAML si sa solo che l'utente che sta tentando di accedere conosce le sue credenziali (nome utente e password). Usa connessioni sicure (solo https, non consentire http) per evitare perdite di credenziali e attacchi MITM.

EDIT: Quando vuoi veramente capire SAML, guarda la tesi di dottorato di Thomas Gross qui: link

Contiene un'analisi approfondita del SAML con prove rigorose (e contro-esempi per SAML 1.0) di funzionalità di sicurezza.

    
risposta data 06.03.2016 - 14:07
fonte

Leggi altre domande sui tag

Implicazioni sulla sicurezza dell'uso di SETCAP CAP_NET_RAW In che modo MailChimp autentica le e-mail?