Dove sono memorizzate le password in SAML? Sull'IDP o sul lato SP?

1

Comprendo il flusso di base di SAML ma non mi è ancora chiaro dove sono archiviate le password.

Questa immagine mostra "APP VERIFICA RISPOSTA SAML & REGISTRA UTENTE IN" da onelogin sembra che la password sia memorizzata su APP l'SP.
Maquestoaltro suggerisce che la password sia memorizzata sull'IdP (talentlms).

Dove sono archiviate le password?

Se le password vengono salvate sul lato IdP (onelogin) e vengono compromesse, l'utente malintenzionato potrebbe accedere a tutti i siti, in quanto l'utente malintenzionato avrebbe la password principale?

    
posta Mark P 24.08.2017 - 18:40
fonte

2 risposte

2

L'SP non è a conoscenza della password che ha autenticato l'utente. Tutto ciò a cui SP si preoccupa è che un trust di IdP e SP gli ha inviato un token che dice che l'utente è autenticato. Questo token non è correlato alla password in alcun modo. Il token è firmato dall'IdP utilizzando una chiave privata e convalidato dall'SP utilizzando la chiave pubblica correlata.

Dato che l'autenticazione dell'utente avviene tramite l'IdP. Non deve essere una password, ma spesso lo è.

    
risposta data 24.08.2017 - 19:30
fonte
2

Il ruolo principale di IdP è quello di "autenticare" l'identità rivendicata dall'utente e assicurare all'SP che l'identità dell'utente sia stata verificata.

Per questo, (più comunemente), la password deve essere verificata dall'IdP e quindi viene archiviata con l'IdP.

In un sistema correttamente implementato, l'SP non dovrebbe mai essere in grado di "accedere" alla password e / o a qualsiasi altro meccanismo utilizzato per verificare l'identità dell'utente. Quindi non viene mai memorizzato con SP.

Come funziona:

Tipicamente, l'IdP fornisce all'utente un token verificabile che indica a un SP che è stata eseguita correttamente un'autenticazione. L'utente lo trasferisce all'SP come "prova di autenticazione riuscita". Inutile dire che l'SP non prende la parola dell'utente per questo. Pertanto, l'SP verifica questo token con l'IdP e solo dopo aver verificato che il token è valido, procede al passaggio successivo (di solito il passaggio di autorizzazione).

In caso di compromissione dell'IdP: Sì, un compromesso dal lato IdP ha un impatto maggiore. Tuttavia, l'IdP non ha bisogno di conoscere tutte le credenziali necessarie per accedere all'applicazione SP. Quindi un'applicazione SP attentamente progettata utilizzerebbe almeno un attributo dell'utente; e non usare solo il token per aprire l'accesso. L'IdP non sarebbe a conoscenza di tale attributo e quindi non sarebbe in grado di accedere all'app SP, mascherandosi da utente. Si spera che questo non sia troppo ingegnerizzato a livello di autenticazione.

Tuttavia, devo confessare che non l'ho visto in pratica. La maggior parte delle SP è grata solo per far funzionare l'integrazione con l'IdP abbastanza bene e lasciare che sia così. :)

    
risposta data 24.08.2017 - 20:06
fonte

Leggi altre domande sui tag