我提议使用 SAML 1.1 作为在客户环境中证明 Web SSO 的技术,他们问了我一些有趣的问题:
哪个场景浏览器/POST 配置文件是合适的,哪些场景浏览器/SAML 的工件配置文件是合适的?
事实上,SAML 1.1 规范并没有谈论两种浏览器配置文件的最佳或最合适的方案。
也许每个人的安全威胁都可以用来挑选最好的。在我看来,到目前为止,两者都可以平等地应用于任何场景。
*注意:该解决方案使用 Weblogic Server 10.0 及其对 SAML 1.1 的支持。
问问题
1703 次
2 回答
3
在我看来,这两个配置文件都提供了相似的安全级别。使用 POST 配置文件,用户必须明确启动 POST。这可能有助于阻止类似于 CSRF 攻击的某些事情,但我不知道任何实际的漏洞利用。Artifact 配置文件使用 GET 方法,可以为用户提供更无缝的体验。
对我来说,Artifact 配置文件的缺点是打开后通道的复杂性。我的应用程序服务器专门有一个线程来处理用户请求,如果该线程被阻塞(等待反向通道 IO 完成)很长时间,则应用程序服务器开始表现得很差。因此,必须非常小心地执行反向通道通信,以确保它在定义的时间段后超时。
即使这样,如果 IdP 出现故障,对我的用户来说,问题出在 IdP 上的情况并不明显。使用 POST 配置文件,如果 IdP 行为不端,用户不太可能责怪我。
于 2009-05-13T18:55:19.403 回答
2
在安全性方面,主要区别在于,使用 POST 配置文件,SAML 响应(包含断言)通过最终用户的浏览器传输,因此它必须至少经过签名,并且可能加密,如果有什么你不会希望最终用户能够看到。
借助工件配置文件,您可以使用 SSL 保护反向通道并发送未签名、未加密的断言,因为它直接从 IdP 传递到 SP。不过,您可能仍希望签署不可否认的断言。
然而,正如 Erickson 所提到的,建立从 SP 到 IdP 的出站“反向通道”连接也有其自身的挑战。由于这个原因,我见过的大多数 SAML 部署都使用 POST。
顺便说一句 - 您使用 SAML 1.1 而不是 2.0 的任何原因?
于 2009-06-10T18:04:07.620 回答