ブラウザ/ POSTおよびブラウザ/アーティファクトSAMLプロファイル用の便利なアプリケーション

Question

私は、お客様の環境でのWeb SSOを証明する技術として、SAML 1.1を使用することを提案しています、そして、彼らは私に何か面白いものを尋ねました

をどのシナリオブラウザ/ POSTプロファイルが適切である、とSAMLのどのシナリオブラウザ/アーティファクトプロファイルが適切なのですか？の

実際には、 SAML 1.1仕様最高でもない、最も適切なシナリオについてのドントトーク両方のブラウザプロファイルについてます。

それぞれの

たぶん、セキュリティ上の脅威との最良を拾うために使用することができます。私のビジョンでは、両方のは、これまでのどのシナリオでも同様にapplyedすることができます。

*注：解決策は、WebLogic Server 10.0およびSAML 1.1へのサポートを使用しています。

Answer 1

両方のプロファイルは、セキュリティの同様のレベルを提供するように私には思えました。 POSTプロファイルを使用すると、ユーザーが明示的にPOSTを開始する必要があります。これは、CSRF攻撃の線に沿って何かを阻止するのに役立つかもしれないが、私は、任意の実際の悪用を知りません。アーティファクトプロファイルは、GETメソッドの使用で、ユーザーのためのよりシームレスな体験を提供することができます。

私にとっては、アーティファクトプロファイルの欠点は、バックチャネルを開くことで、複雑です。私のアプリケーションサーバは、ユーザの要求を処理するスレッドを捧げ、そのスレッドが非常に長いために（バックチャネルIOが完了するのを待って）ブロックされている場合、アプリケーションサーバは、非常にパフォーマンスが低下し始めます。だから、バックチャネル通信を確保するために非常に慎重に行わなければならないこと、それがタイムアウト時間の定義された期間の後。

のIdPがダウンしてトラブルを抱えている場合であっても、その後、それは故障がIdPのであるというのが私のユーザーには明らかなようではありません。 POSTプロファイルを使用すると、IDPはふらちなされている場合、ユーザーは、私を責めにくい。

Answer 2

セキュリティの面では、主な違いは何あなたがあるかどうPOSTプロファイル、SAML応答（アサーションを含む）と、それは、少なくとも署名しなければならないので、エンドユーザーのブラウザを経由して移動し、そしておそらく暗号化された、ということですエンドユーザーが見ることができるようにしたいではないでしょう。

アーティファクトプロファイルを使用すると、バックチャネルを確保し、それがIdPのからSPに直接渡されるため、符号なし、暗号化されていないアサーションを送信するためにSSLを使用することができます。あなたはまだしかし、否認防止のためのアサーションを署名することがあります。

エリクソンが言及したよう

、しかし、アウトバウンドのIdPにSPから「バックチャンネル」接続の設定は、独自の課題が付属しています。私はこのような理由のためにPOSTを使用して見てきました。

ほとんどのSAMLの展開

ところで - ？あなたはSAML 1.1ではなく2.0を使用している何らかの理由