我正在开发一项服务,该服务使用SAML SSO协议提供身份验证服务以确保通信安全。
简介: - SAML SSO识别身份提供商(IP或IDP)和服务提供商,它们“信任”并将用户身份验证委托给IDP。以下是建立信任的方式: 1.服务提供商(SP): - 可信的IDP名称和证书 - 单点登录(SSO)URL 2.身份提供者(IDP): - 依赖SP名称和证书 - SSO消费者URL 只要SP需要对用户进行身份验证,它就会将其重定向到SSO端点,并在查询字符串或表单字段(GET或POST方法)中传递SAMLRequest。
我想知道的是,要求身份验证的客户端应该通过" https"协议或请求也可以使用http信道进行中继。我只是问SAML协议是否要求我们使用https或不使用
答案 0 :(得分:4)
SAML不需要使用HTTPS。但是你应该以某种方式保护你的消息。这可能是通过使用XML签名/加密,HTTPS或其他方式。 HTTPS可能是实现此目的的最简单方法。
答案 1 :(得分:2)
SAML不要求使用HTTPS,但推荐。
它是一种身份验证机制(即使我们只是在谈论AuthnRequest),所以我的问题是为什么不会你使用HTTPS?