In un profilo browser web FSSO SAML2 (HTTP POST), l'IdP dovrebbe analizzare AuthnRequest prima di chiedere all'utente di autenticarsi? [chiuso]

0

Contesto: profilo SSO del browser Web SAML2. (Binding POST HTTP). SSO federato.

Se l'IdP riceve un <AuthnRequest> dall'SP, dovrebbe / deve / può l'IdP eseguire prima l'autenticazione dell'utente o leggere / validare prima <AuthnRequest> ?

(l'implementazione che abbiamo in mente potrebbe essere basata su WebSeal e TFIM di IBM ... dove sembra che l'Utente sia reindirizzato per autenticare PRIMA il TFIM guarda effettivamente a <AuthnRequest> . Almeno, se sto capendo bene i documenti)

Modifica: Il mio contesto include anche che l'utente non è ancora autenticato localmente all'IdP, quando% SP% di co_de viene ricevuto all'IdP.

    
posta Fred H 19.09.2013 - 10:09
fonte

2 risposte

1

Non ho alcuna conoscenza di WebSeal o TFIM ma, per quanto riguarda SAML, la convalida deve essere eseguita prima.

SAML è un mezzo di comunicazione. Una lingua utilizzata dai servizi Web per parlare tra loro. La convalida della richiesta in entrata è essenziale per assicurarsi che vengano seguite la grammatica e la sintassi corrette.

Un AuthnRequest non è altro che un messaggio XML che può contenere dettagli come:

  1. Un identificatore di richiesta
  2. data / ora
  3. Richiedi i dettagli dell'emittente (devi sapere con chi stai comunicando)
  4. URL di reindirizzamento dopo l'autenticazione
  5. Firma XML (molto importante per verificare l'autenticità e l'integrità del messaggio)
  6. Riproduci token

Naturalmente la prima cosa da fare dopo aver ricevuto AuthnRequest è di convalidare lo schema XML. La convalida degli altri campi è importante prima di presentare la pagina di accesso al client per filtrare le richieste forgiate, non standard e ripetute.

P.S. Un altro punto importante. SAML fornisce anche SSO. Supponiamo che un utente stia già utilizzando un servizio e che sia autenticato con l'IdP. Se desidera utilizzare un altro servizio, un nuovo SAML AuthnRequest verrà inviato all'IdP. In questo caso, dopo aver convalidato la richiesta, deve essere generata un'asserzione senza presentare una pagina di accesso all'utente per abilitare l'accesso diretto.

    
risposta data 19.09.2013 - 10:56
fonte
0

L'Authnrequest dovrebbe essere convalidato prima controllare le firme, i timestamp e così via. Inoltre, AuthnRequest può contenere informazioni su come l'utente deve essere autenticato, quindi la lettura logica di AuthnRequest viene prima di tutto.

    
risposta data 19.09.2013 - 10:39
fonte

Leggi altre domande sui tag