因此,我发现SAML 2.0 sp-initiated配置的实现配置文件很少:
每个有什么好处?我们正在实施sp-initiated方法,从最终用户的角度来看,每个配置文件的体验似乎都是相同的,但我关注的是安全隐患。一个比另一个更安全吗?
BTW ......我们正在将OpenAM作为我们的IdP和SimpleSAMLphp实现为我们的SP库。如果你知道设置只支持特定的个人资料,我也很想知道。
答案 0 :(得分:2)
如果正确实施,所有绑定的安全性都相似。主要考虑因素是:
重定向 - 可能不适用于发送大型邮件的情况。浏览器对最大URL大小有不同的限制。对于像“认证要求”这样的东西 - 通常是合适的。
POST - 更适合大型邮件大小,例如Authentication Response。大多数实现使用JavaScript来自动提交这些。如果您的用户使用启用了JavaScript的现代浏览器,那么您可能还可以。
神器 - 适用于旧的,通常是移动的浏览器。通过浏览器发送的内容很少 - 只是后端使用的一个小型随机工件来解析SAML消息。这就是说 - 它依赖于你的后端系统能够呼叫对方。一些网络安全架构不允许这样做。
请参阅SAML 2.0 Conformance doc了解指南。例如,SSO响应不允许重定向。最常见的是,您将看到在部署中使用Redirect-POST。我确信您选择的产品将支持这些绑定。