SAML规范接下来说:“如果使用HTTP POST或重定向绑定,则必须对消息进行签名。”与LogoutResponse相同。但是,当我在不同的身份提供程序(onelogin,auth0,duo,Azure AD)中查找设置时,我发现它们并不需要从服务提供者处进行一次注销的证书(我发现只有一个例外,这很正常)。 可能我不了解概念或错过了什么,并请您的stackowerflow社区来帮助我解决这种情况。
答案 0 :(得分:0)
您的理解是正确的。 SAML规范指出必须对SAML注销消息进行签名。但是,并非所有的SAML提供程序都支持SAML注销,并且在所有支持的提供程序中,并非全部都支持对SAML注销消息进行签名。如果未签名注销消息,则意味着第三方可能导致注销发生。这会很麻烦,但我不确定是否存在安全风险。如果您正在寻求最大的互操作性,我建议对SAML注销消息进行签名是可配置的,以便您可以根据合作伙伴提供程序来改变行为。