我是SP为SSO开发SAML 2.0功能。
SSO将始终从IdP发起(用户将从他们已登录的企业门户网站访问我的网站。)
所以,我想要了解的是我是否应该提供未经请求的(IdP发起的)SSO,或者仍然是开发请求(SP发起的)SSO的最佳实践。如果是后者,那么为什么我需要增加复杂性?
答案 0 :(得分:1)
正如您所建议的那样,用户将始终从IDP启动 - 实际上是SP连接到的每个IDP - 然后无需向SP添加SP启动的SSO支持。
当然有人可能会争辩说,支持SP发起的SSO更通用,并且IDP的超集启动了SSO,因为您可以从IDP门户外部触发SSO,并在您的企业门户中包含SP发起的SSO链接。但是在你的情况下,前者永远不会被要求,所以你可以坚持使用IDP发起的SSO,假设所有连接的IDP都支持它。
答案 1 :(得分:0)
SP 发起的 SSO 总体上是最佳实践,OWASP states that“由于缺乏 CSRF 保护,未经请求的响应在设计上本质上不太安全。”