تطبيقات ملائمة لملفات تعريف المتصفح/POST والمتصفح/Artifact SAML
https://stackoverflow.com/questions/859652
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أقترح استخدام SAML 1.1 كتقنية لإثبات تسجيل الدخول الموحد للويب في بيئة العميل، وقد سألوني شيئًا مثيرًا للاهتمام:
ما هو السيناريو المناسب لملف تعريف المتصفح/POST، وما هو السيناريوهات المناسب لملف تعريف المتصفح/المنتج لـ SAML؟
في الحقيقة، مواصفات SAML 1.1 لا تتحدث عن السيناريو الأفضل أو الأنسب لكلا الملفين الشخصيين في المتصفح.
ربما يمكن استخدام التهديدات الأمنية لكل منها لاختيار الأفضل.وفي رؤيتي، يمكن تطبيق كليهما بالتساوي في أي سيناريو حتى الآن.
*ملحوظة:يستخدم الحل Weblogic Server 10.0 ودعمه لـ SAML 1.1.
المحلول
يبدو لي أن كلا الملفين الشخصيين يقدمان مستويات مماثلة من الأمان.باستخدام ملف تعريف POST، يتعين على المستخدم بدء عملية POST بشكل صريح.قد يساعد هذا في إحباط شيء ما على غرار هجوم CSRF، لكنني لا أعرف أي عمليات استغلال فعلية.يمكن أن يوفر ملف تعريف Artifact، من خلال استخدامه لطريقة GET، تجربة أكثر سلاسة للمستخدم.
بالنسبة لي، العيب في ملف تعريف Artifact هو التعقيد في فتح القناة الخلفية.يخصص خادم التطبيق الخاص بي سلسلة رسائل للتعامل مع طلب المستخدم، وإذا تم حظر هذا الموضوع (في انتظار اكتمال عملية إدخال/إخراج القناة الخلفية) لفترة طويلة جدًا، فسيبدأ خادم التطبيق في الأداء بشكل سيئ للغاية.لذلك، يجب إجراء اتصالات القناة الخلفية بعناية فائقة لضمان انتهاء مهلة الاتصال بعد فترة زمنية محددة.
وحتى في هذه الحالة، إذا كان موفِّر الهوية (IdP) يواجه مشكلة، فليس من الواضح للمستخدمين أن الخطأ يقع في موفِّر الهوية (IdP).باستخدام ملف تعريف POST، إذا كان IdP يسيء التصرف، فمن غير المرجح أن يلومني المستخدمون.
نصائح أخرى
فيما يتعلق بالأمان، يتمثل الاختلاف الرئيسي في أنه، مع ملف تعريف POST، تنتقل استجابة SAML (التي تحتوي على التأكيد) عبر متصفح المستخدم النهائي، لذلك يجب أن تكون موقعة على الأقل، وربما مشفرة، إذا كان هناك أي شيء لا تريده تريد أن يتمكن المستخدم النهائي من الرؤية.
باستخدام ملف التعريف الاصطناعي، يمكنك استخدام SSL لتأمين القناة الخلفية وإرسال تأكيد غير موقّع وغير مشفر، حيث يتم تمريره مباشرة من IdP إلى SP.ومع ذلك، قد لا تزال ترغب في التوقيع على تأكيد عدم التنصل.
وكما ذكر إريكسون، فإن إعداد اتصال "القناة الخلفية" الصادر من مقدم الخدمة إلى موفر الهوية يأتي مع تحدياته الخاصة.معظم عمليات نشر SAML التي رأيتها تستخدم POST لهذا السبب.
راجع للشغل - هل هناك أي سبب لاستخدام SAML 1.1 بدلاً من 2.0؟
