क्या मुझे एसएएमएल 2 एसएसओ प्रतिक्रियाओं पर हस्ताक्षर करने के लिए आईडीपी की आवश्यकता होनी चाहिए?

Question

हमारे ऐप में 3 अलग-अलग (शिबबोलेथ) आईडीपी के साथ SAML2 एसएसओ एकीकरण है। हम एक चौथाई (शिबबोलेथ) जोड़ने की कोशिश कर रहे हैं, लेकिन कुछ मुद्दों पर चल रहे हैं, क्योंकि हमारे ऐप से उम्मीद है कि सभी एसएसओ प्रतिक्रियाओं को सत्यापित रूप से हस्ताक्षरित किया जाएगा। ये अन्य 3 अपने प्रतिक्रियाओं पर हस्ताक्षर कर रहे हैं, लेकिन चौथा नहीं है, और हमारे ऐप के लिए साइन इन करने के लिए कस्टम कॉन्फ़िगरेशन जोड़ने में संकोच नहीं है।

तकनीकी रूप से मैं बिना किसी हस्ताक्षरित एसएसओ प्रतिक्रिया स्वीकार करने के लिए हमारे ऐप को संशोधित कर सकता हूं, लेकिन मुझे आश्चर्य है कि मुझे क्या करना चाहिए या नहीं। हस्ताक्षरित एसएसओ प्रतिक्रियाओं की अनुमति देने के नुकसान क्या हैं? क्या कोई सुरक्षा भेद्यता है?

क्या कोई शिबबोलेथ (या अन्य SAML2 एसएसओ) दस्तावेज है जो प्रतिक्रियाओं को सर्वोत्तम अभ्यास के रूप में हस्ताक्षर करने की सिफारिश करता है?

Answer 1

SAML 2.0 spec के बाद आईडीपी के लिए एकमात्र आवश्यकता आकलन पर हस्ताक्षर करने के लिए है (http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf - अनुभाग 4.1.3.5 देखें)। यह बताने के लिए पर्याप्त है कि एक आईडीपी से एसएसओ ऑपरेशन एसपी द्वारा भरोसा किया जाना चाहिए जो इसके साथ संघीय है।

बाहरी प्रतिक्रिया को साइन करना वैकल्पिक है। इसके लिए कुछ सुरक्षा लाभ हैं, जैसे संदेश सम्मिलन या संशोधन को रोकना (http://docs.oasis-open.org/security/saml/v2.0/saml-sec-consider-2.0-os.pdf में अनुभाग 6.1.3/6.1.5 देखें) - लेकिन व्यावहारिक रूप से इसे अक्सर एसएसएल/टीएलएस पर भरोसा करने के बदले छोड़ दिया जाता है।

Answer 2

प्रतिक्रिया पर हस्ताक्षर करने का पूरा बिंदु यह साबित करना है कि वे वास्तव में जारीकर्ता से आते हैं। अन्यथा "मध्य में आदमी" गुणों को बदल सकता है उदा। खुद को एक आवेदन तक पहुंचने के लिए।

डिफ़ॉल्ट रूप से SAML का उपयोग करके ADFS v2.0 सभी प्रतिक्रिया टोकन पर हस्ताक्षर करता है। इसे बंद करने का कोई तरीका नहीं है।