Praktische Anwendungen für Browser / POST und Browser / Artefakt SAML Profile
https://stackoverflow.com/questions/859652
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich schlage die Verwendung von SAML 1.1 als Technologie-Web-SSO in einer Kundenumgebung zu beweisen, und sie hat mich gebeten, etwas Interessantes:
Welches Szenario Browser / POST-Profil geeignet ist, und welche Szenarien Browser / Artifact Profil von SAML ist angemessen?
In der Tat, SAML 1.1 Spezifikationen DO NOT sprechen über das beste weder am besten geeignetes Szenario für beide Browser-Profile.
Vielleicht Sicherheitsbedrohungen jeder kann man die besten abholen verwendet werden. In meiner Vision können beide bisher in jedem Szenario applyed gleich werden.
. * Hinweis: Die Lösung verwendet Weblogic Server 10.0 und seine Unterstützung für SAML 1.1
Lösung
Es schien mir, dass beide Profile ein ähnliches Niveau an Sicherheit bieten. Mit dem POST-Profil hat der Benutzer explizit die POST zu initiieren. Dies könnte helfen, etwas entlang der Linien eines CSRF-Angriff zu vereiteln, aber ich weiß nicht von irgendwelchen tatsächlichen Exploits. Das Artifact-Profil, mit seiner Verwendung der GET-Methode, um eine nahtlose Erfahrung für den Benutzer zur Verfügung stellen kann.
Für mich ist der Nachteil des Artifact-Profil ist die Komplexität in den Rückkanal zu öffnen. Mein Anwendungsserver einen Thread an dem Handling die Benutzeranforderung widmet, und wenn dieser Thread (Warte auf den Rückkanal IO abgeschlossen) für sehr lange blockiert wird, beginnt der App-Server sehr schlecht durchzuführen. So hat die Back-Channel-Kommunikation sehr sorgfältig durchgeführt werden, um sicherzustellen, dass es wird nach einem definierten Zeitraum.
Auch dann, wenn der IdP wird nach unten Schwierigkeiten hat, es ist nicht so klar, meine Nutzer, dass der Fehler bei der IdP ist. Mit einem POST-Profil, wenn der IdP ist misbehaving sind die Nutzer weniger wahrscheinlich mich verantwortlich zu machen.
Andere Tipps
Im Hinblick auf die Sicherheit, ist der wesentliche Unterschied, dass mit POST-Profil, die SAML-Antwort (mit der Behauptung) gelangt über die Endbenutzers Browser, so muss es zumindest unterzeichnet und möglicherweise verschlüsselt werden, wenn es etwas gibt, Sie wäre nicht der Endbenutzer will in der Lage zu sehen.
Mit dem Artifact-Profil können Sie SSL verwenden, um den Back-Kanal zu sichern und eine nicht signierte, verschlüsselte Behauptung schicken, da sie direkt von der IdP an den SP übergeben wird. Sie können immer noch die Behauptung für Unleugbarkeit unterzeichnen wollen, though.
Wie Erickson erwähnt, obwohl die Outbound-Einrichtung ‚Rückkanal‘ Verbindung vom SP zum IdP kommt mit seinen eigenen Herausforderungen. Die meisten SAML-Implementierungen Ich habe aus diesem Grund verwenden POST gesehen.
BTW - kein Grund Sie SAML verwenden 1.1 statt 2.0
