aplicaciones convenientes para Navegador / POST y perfiles de artefactos SAML de navegador /
https://stackoverflow.com/questions/859652
-
21-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy proponiendo el uso de SAML 1.1 como tecnología para demostrar SSO web en un entorno del cliente, y me preguntó algo interesante:
¿Qué navegador escenario / perfil POST es apropiado y qué escenarios Navegador / perfil Artefacto de SAML es apropiado?
De hecho, SAML 1.1 Especificaciones hablar de la mejor ni la más adecuada escenario No te tanto para los perfiles de navegador.
Tal vez amenazas a la seguridad de cada uno se pueden utilizar para recoger los mejores. En mi visión, ambos pueden ser applyed por igual en cualquier escenario hasta ahora.
. * Nota: La solución utiliza WebLogic Server 10.0 y su apoyo a SAML 1.1
Solución
Me parecía que los dos perfiles ofrecen niveles similares de seguridad. Con el perfil de la POST, el usuario tiene que iniciar de manera explícita el POST. Esto podría ayudar a frustrar algo en la línea de un ataque CSRF, pero no sé de ningún hazañas reales. El perfil de artefacto, con el uso del método GET, puede proporcionar una experiencia más fluida para el usuario.
Para mí, el inconveniente con el perfil Artefacto es la complejidad en la apertura del canal de retorno. Mi servidor de aplicaciones dedica un hilo para manejar la petición del usuario, y si ese hilo está bloqueado (esperando el canal de retorno para completar IO) durante mucho tiempo, el servidor de aplicaciones empieza a funcionar muy mal. Por lo tanto, la comunicación de canal de retorno tiene que ser realizada con mucho cuidado para asegurarse de que el tiempo de espera después de un período de tiempo definido.
Incluso entonces, si el IdP está teniendo problemas para abajo, que no es tan obvio para mis usuarios que el fallo está en el IdP. Con un perfil de POST, si el IdP se está portando mal, los usuarios son menos propensos a culpar a mí.
Otros consejos
En cuanto a la seguridad, la principal diferencia es que, con el perfil POST, la respuesta SAML (que contiene la afirmación) viaja a través del navegador del usuario final, por lo que debe ser al menos firmado, y posiblemente cifrado, si hay algo que no quiere que el usuario final pueda ser capaz de ver.
Con el perfil de artefacto, puede utilizar SSL para proteger el canal de retorno y enviar una afirmación sin firmar, cifrar, ya que se pasa directamente desde el IdP al SP. Es posible que aún desee firmar la afirmación de no repudio, sin embargo.
Como se menciona Erickson, sin embargo, la configuración del saliente atrás canales 'conexión desde el SP para el IdP viene con sus propios desafíos. La mayoría de las implementaciones de SAML que he visto el uso post por este motivo.
Por cierto - la razón que usted está utilizando SAML 1.1 en lugar de 2.0
