Utilizziamo il profilo SSO del browser Web SAML (SAML 2.0)
Abbiamo un SP che utilizza SAML2.0. Tutte le comunicazioni tra IdP e SP sono su HTTP.
Se AuthnResponse di IdP viene inviato su HTTP, è obbligatorio che l'SP convalidi la firma su entrambe le asserzioni crittografate e la firma sull'intera risposta? L'IdP non è obbligato a eseguire la convalida della firma se tutte le asserzioni sono crittografate?
Grazie.
A meno che non si stia utilizzando il binding Artifact (non molto comune), la convalida della firma è sempre richiesta. Mentre la comunicazione con SP e IDP avviene tramite HTTPS, il browser web dell'utente trasmette le risposte / asserzioni, quindi non puoi fidarti dell'integrità di quei messaggi. Quindi l'uso della firma.
La crittografia, d'altra parte, potrebbe essere una duplicazione di ciò che fornisce HTTPS, a seconda della struttura di come l'IDP sta generando / ricevendo tali asserzioni. Ma tieni presente che la decrittografia di un messaggio non ne dimostra l'integrità.
Riepilogo: potresti essere in grado di eliminare la crittografia ma non puoi abbandonare la firma.