Провайдеры идентификации игнорируют спецификацию SAML или не требуется, чтобы запрос на выход из системы и ответы были подписаны?

Question

Провайдеры идентификации игнорируют спецификацию SAML или не требуется, чтобы запрос на выход из системы и ответы были подписаны?

В спецификации SAML говорится следующее: "Сообщение ДОЛЖНО быть подписано, если используется привязка HTTP POST или Redirect". и то же самое для LogoutResponse. Но когда я ищу настройки в разных провайдерах идентификации (onelogin, auth0, duo, Azure AD), я вижу, что им не требуется сертификат от провайдеров услуг для единого выхода из системы (я нахожу только одно исключение, и это нормально). Возможно, я не понимаю концепцию или что-то упускаю и прошу вас, сообщество стека Powerflow, помочь мне в этой ситуации.

0

certificate saml saml-2.0 single-logout

Источник

user10541346 20 май '19 в 12:25

1 ответ

Другие вопросы по тегам certificate saml saml-2.0 single-logout

user1578538 20 май '19 в 21:44 2019-05-20 21:44 · Answer 1 · 2019-05-20 21:44

Ваше понимание верно. Спецификации SAML гласят, что сообщения о выходе из SAML должны быть подписаны. Однако не все поставщики SAML поддерживают выход из SAML, и не все из них поддерживают подпись сообщений о выходе из SAML. Если сообщение о выходе не подписано, это означает, что третье лицо может вызвать выход из системы. Это было бы неприятно, но я не уверен, что это угроза безопасности. Если вам нужна максимальная совместимость, я рекомендую настраивать подписывание сообщений выхода из SAML, чтобы вы могли варьировать поведение в зависимости от поставщика-партнера.