Shibboleth 如何保证第 3 方无法访问 IdP 和 SP 之间交换的 SAML 2.0 断言中包含的用户属性?
从 IdP 传输到 SP 时,所有用户属性都被加密是否正确?用户属性是否使用对称密钥加密,该对称密钥也包含在断言中,但使用 SP 的公钥加密?
问问题
200 次
1 回答
1
我怀疑 Shibboleth 会做任何事情来保证用户属性是加密的。根据SAML 2.0 规范(pdf):
SAML 请求和 SAML 响应的消息机密性是可选的,取决于使用环境。
但是,SAML 2.0确实允许使用消息级机密性保证 (pdf),包括XMLEnc和XMLSig(Shibboleth 都支持)以及可能支持其他消息级机密性模式的自定义配置文件或属性类型。
于 2012-08-21T14:25:19.787 回答