0

SAML 规范接下来说“如果使用 HTTP POST 或重定向绑定,则必须对消息进行签名。” 和 LogoutResponse 相同。但是,当我在不同的身份提供商(onelogin、auth0、duo、Azure AD)中查找设置时,我发现他们不需要服务提供商的证书即可进行单次注销(我发现只有一个例外,没关系)。可能我不明白概念或错过了什么,并请你的 stackowerflow 社区帮助我解决这种情况。

4

1 回答 1

0

你的理解是正确的。SAML 规范规定必须对 SAML 注销消息进行签名。但是,并非所有 SAML 提供者都支持 SAML 注销,并且在那些支持者中,并非所有都支持签署 SAML 注销消息。如果注销消息未签名,这意味着第 3 方可能导致发生注销。这会很麻烦,但我不确定这是否存在安全风险。如果您正在寻找最大的互操作性,我建议 SAML 注销消息的签名是可配置的,以便您可以根据合作伙伴提供商改变行为。

于 2019-05-20T21:44:11.563 回答