tl;dr:我怎么知道 SCIM 请求来自 Azure Active Directory 而不是冒名顶替者?
我想防御以下攻击:
- Alice 为与 Azure Active Directory 和我的应用程序的 SCIM 集成生成不记名令牌
- Alice 使用不记名令牌制作 SCIM 请求并要求更新 Bob 的用户,即使 Bob 的用户不属于她的 Azure Active Directory 租户。
由于来自 Azure AD 的 SCIM 请求仅通过 Alice 生成的不记名令牌到达,所以我只知道 Alice(我不想信任他)发送了消息。我无法确定我信任的 IDP Azure AD 是否代表她发送了消息。为什么来自 AD 的消息没有签名?
其他人是如何解决这个问题的?