1

因此,我看到 SAML 2.0 sp 启动的配置有几个不同的实现配置文件:

  1. POST-POST
  2. 重定向-POST
  3. 工件-POST
  4. 后工件
  5. 重定向工件
  6. 神器-神器

各有什么优势?我们正在实施一种 sp 启动的方法,从最终用户的角度来看,每个配置文件的体验似乎是相同的,但我担心安全隐患。一个比另一个更安全吗?

顺便说一句...我们正在将 OpenAM 作为我们的 IdP 并将 SimpleSAMLphp 作为我们的 SP 库。如果您知道该设置仅支持特定配置文件,我也很想知道。

4

1 回答 1

2

如果正确实施,所有绑定的安全性都是相似的。主要考虑因素是:

重定向 - 对于发送大消息的情况可能不理想。浏览器对最大 URL 大小有不同的限制。对于像身份验证请求这样的东西 - 它通常是合适的。

POST - 更适合大型消息,如身份验证响应。大多数实现使用 JavaScript 来自动提交这些。如果您的用户使用启用了 JavaScript 的现代浏览器,您可能没问题。

Artifact - 适用于旧的、通常是移动的浏览器。通过浏览器发送的内容很少——只是后端用来解析 SAML 消息的一个小的随机工件。也就是说 - 它依赖于您的后端系统能够呼叫对方。一些网络安全架构不允许这样做。

有关指南,请参阅SAML 2.0 一致性文档。例如,SSO 响应不允许重定向。最常见的是,您会看到 Redirect-POST 在部署中使用。我确信您选择的产品将支持这些绑定。

于 2012-06-30T17:31:34.663 回答