因此,我看到 SAML 2.0 sp 启动的配置有几个不同的实现配置文件:
- POST-POST
- 重定向-POST
- 工件-POST
- 后工件
- 重定向工件
- 神器-神器
各有什么优势?我们正在实施一种 sp 启动的方法,从最终用户的角度来看,每个配置文件的体验似乎是相同的,但我担心安全隐患。一个比另一个更安全吗?
顺便说一句...我们正在将 OpenAM 作为我们的 IdP 并将 SimpleSAMLphp 作为我们的 SP 库。如果您知道该设置仅支持特定配置文件,我也很想知道。
因此,我看到 SAML 2.0 sp 启动的配置有几个不同的实现配置文件:
各有什么优势?我们正在实施一种 sp 启动的方法,从最终用户的角度来看,每个配置文件的体验似乎是相同的,但我担心安全隐患。一个比另一个更安全吗?
顺便说一句...我们正在将 OpenAM 作为我们的 IdP 并将 SimpleSAMLphp 作为我们的 SP 库。如果您知道该设置仅支持特定配置文件,我也很想知道。
如果正确实施,所有绑定的安全性都是相似的。主要考虑因素是:
重定向 - 对于发送大消息的情况可能不理想。浏览器对最大 URL 大小有不同的限制。对于像身份验证请求这样的东西 - 它通常是合适的。
POST - 更适合大型消息,如身份验证响应。大多数实现使用 JavaScript 来自动提交这些。如果您的用户使用启用了 JavaScript 的现代浏览器,您可能没问题。
Artifact - 适用于旧的、通常是移动的浏览器。通过浏览器发送的内容很少——只是后端用来解析 SAML 消息的一个小的随机工件。也就是说 - 它依赖于您的后端系统能够呼叫对方。一些网络安全架构不允许这样做。
有关指南,请参阅SAML 2.0 一致性文档。例如,SSO 响应不允许重定向。最常见的是,您会看到 Redirect-POST 在部署中使用。我确信您选择的产品将支持这些绑定。