Nasza aplikacja ma integrację SAML2 SSO z 3 różnymi (Shibboleth) dostawcami tożsamości. Próbujemy dodać czwartą (także Shibboleth), ale działającą w niektórych przypadkach, ponieważ nasza aplikacja oczekuje, że wszystkie odpowiedzi SSO będą weryfikowalne. Te pozostałe 3 podpisują swoje odpowiedzi, ale czwarta nie jest i nie chce dodać niestandardowej konfiguracji wymuszającej podpisywanie naszej aplikacji.Czy muszę wymagać, aby dostawcy tożsamości podpisywali odpowiedzi SSO SAML2?
Technicznie mogę zmodyfikować naszą aplikację, aby akceptować niepodpisane odpowiedzi SSO, ale zastanawiam się, czy powinienem. Jakie są pułapki dopuszczania niepodpisanych odpowiedzi SSO? Czy istnieje luka w zabezpieczeniach?
Czy istnieje dokumentacja Shibboleth (lub inna dokumentacja SAML2 SSO), która zaleca podpisywanie odpowiedzi jako najlepszą praktykę?
Czy na podstawie dokumentów, czy nasza aplikacja wymaga podpisu authn, czy nie jesteśmy technicznie zgodni z SAML2? Wszystkie nasze odpowiedzi są rzeczywiście wymuszane przez HTTPS. – danludwig
Podpisywanie odpowiedzi lub aslifikacji SAML zależy od powiązania, którego używasz. Ponieważ zakładam, że otrzymujesz komunikat za pośrednictwem POST Binding, wówczas odpowiedź i/lub potwierdzenie * musi * być podpisane przez IDP, aby zapewnić integralność wiadomości. Myślę, że zamieszanie wynika z tego, jaka część Odpowiedzi jest podpisywana. Byłbym zaskoczony, gdyby Shibb zezwolił na wysłanie niepodpisanej wiadomości przez POST. – Ian