La convalida della firma è obbligatoria se le asserzioni crittografate vengono inviate su HTTP in SAML 2.0?

1

Utilizziamo il profilo SSO del browser Web SAML (SAML 2.0)

Abbiamo un SP che utilizza SAML2.0. Tutte le comunicazioni tra IdP e SP sono su HTTP.

Se AuthnResponse di IdP viene inviato su HTTP, è obbligatorio che l'SP convalidi la firma su entrambe le asserzioni crittografate e la firma sull'intera risposta? L'IdP non è obbligato a eseguire la convalida della firma se tutte le asserzioni sono crittografate?

Grazie.

    
posta user674669 08.10.2018 - 18:36
fonte

1 risposta

2

A meno che non si stia utilizzando il binding Artifact (non molto comune), la convalida della firma è sempre richiesta. Mentre la comunicazione con SP e IDP avviene tramite HTTPS, il browser web dell'utente trasmette le risposte / asserzioni, quindi non puoi fidarti dell'integrità di quei messaggi. Quindi l'uso della firma.

La crittografia, d'altra parte, potrebbe essere una duplicazione di ciò che fornisce HTTPS, a seconda della struttura di come l'IDP sta generando / ricevendo tali asserzioni. Ma tieni presente che la decrittografia di un messaggio non ne dimostra l'integrità.

Riepilogo: potresti essere in grado di eliminare la crittografia ma non puoi abbandonare la firma.

    
risposta data 08.10.2018 - 19:19
fonte

Leggi altre domande sui tag