Ứng dụng của chúng tôi có tích hợp SAML2 SSO với 3 IDP (Shibboleth) khác nhau. Chúng tôi đang cố gắng thêm một số 4 (cũng là Shibboleth), nhưng lại gặp phải một số vấn đề, bởi vì ứng dụng của chúng tôi hy vọng tất cả các phản hồi SSO sẽ được ký một cách chính xác. Những người khác 3 đang ký kết phản ứng của họ, nhưng thứ 4 là không, và là do dự để thêm một cấu hình tùy chỉnh để thực thi ký cho ứng dụng của chúng tôi.Tôi có nên yêu cầu IdP ký các phản hồi SSO SAML2 không?
Về mặt kỹ thuật tôi có thể sửa đổi ứng dụng của mình để chấp nhận phản hồi SSO chưa được ký, nhưng tôi tự hỏi có nên hay không. Cạm bẫy của việc cho phép phản ứng SSO chưa được ký là gì? Có lỗ hổng bảo mật nào không?
Có tài liệu nào về Shibboleth (hoặc tài liệu SAML2 SSO) khác đề xuất ký phản hồi như là phương pháp hay nhất không?
Vì vậy, dựa trên tài liệu, nếu ứng dụng của chúng tôi yêu cầu trả lời tự động được ký, chúng tôi có tuân thủ về mặt kỹ thuật SAML2 không? Tất cả các phản hồi của chúng tôi thực sự bị buộc qua HTTPS. – danludwig
Việc ký kết Phản hồi SAML hoặc Xác nhận phụ thuộc vào ràng buộc bạn đang sử dụng. Vì tôi giả sử bạn nhận được thông báo qua POST Binding, sau đó phản hồi và/hoặc Assertion * phải được IDP ký tên để đảm bảo tính toàn vẹn của thông báo. Tôi nghĩ sự nhầm lẫn xuất phát từ phần nào của Phản hồi đang được ký kết. Tôi sẽ ngạc nhiên nếu Shibb cho phép một tin nhắn chưa ký gửi được gửi qua POST. – Ian