क्या मुझे एक एसएएमएल अनुरोध एन्क्रिप्ट करना आवश्यक है यदि मैं इसे अपनी निजी कुंजी से साइन कर रहा हूं और एसएसएल पर भेज रहा हूं? या क्या यह मेरी निजी कुंजी का उपयोग करके साइन इन करना बेहतर होगा, पहचान प्रदाताओं की सार्वजनिक कुंजी का उपयोग करके इसे एन्क्रिप्ट करें और एसएसएल पर इसे प्रेषित करें?क्या यह एसएएमएल को साइन और एन्क्रिप्ट करने और एसएसएल का उपयोग करने की अनुशंसा की जाती है?
एक SAML दावा क्वेरी/अनुरोध में आमतौर पर अधिक निजी डेटा नहीं होता है, और अनुरोध स्वयं आमतौर पर उपयोग के लिए जारी नहीं रहता है, इसलिए SAML अनुरोध को स्वयं एन्क्रिप्ट करने की आवश्यकता नहीं है। इसे हस्ताक्षर करने से रिसीवर को यह सत्यापित करने की अनुमति मिल जाएगी कि सामग्रियों को पारगमन में बदला नहीं गया है, और एसएसएल के माध्यम से इसे प्रेषित करने से ट्रांसमिशन के दौरान गोपनीयता प्रदान की जाएगी। इस स्थिति में अनुरोध को एन्क्रिप्ट करना शायद अधिक है।
एक एसएएमएल दावा प्रतिक्रिया, हालांकि, एक पूरी तरह से अलग जानवर है। एक एसएएमएल प्रतिक्रिया जिसमें दावा या दावे शामिल हैं, में निजी डेटा होगा। आपके सिस्टम में इन दावों का उपयोग कैसे किया जा रहा है, इस पर निर्भर करते हुए, अलग-अलग पार्टियों के बीच दावे पारित किए जा सकते हैं, जिनमें से कुछ को कुंजी को डिक्रिप्ट करने के लिए कुंजी की आवश्यकता होती है (क्योंकि उनके पास SAML प्रदाता के साथ विश्वास संबंध है) और कुछ जो नहीं करते हैं । SAML दावे को कैश या डेटाबेस में संग्रहीत किया जा सकता है, इसलिए आप वास्तव में नहीं जानते कि भविष्य में उनके माध्यम से कौन सा पोकिंग करेगा।
यदि एसएएमएल प्रतिक्रिया में दावों और दावे शामिल हैं जिनमें निजी डेटा है, और प्रतिक्रिया प्राप्तकर्ता अनिश्चित अवधि के लिए एसएएमएल दावे पर या इंटरमीडिएट पार्टियों के माध्यम से एसएएमएल दावे को पारित कर रहे हैं, तो आप भरोसा नहीं करते हैं, फिर हां, एसएएमएल दावे को एन्क्रिप्ट किया जाना चाहिए और प्रतिक्रिया हस्ताक्षरित की जानी चाहिए, भले ही इसे एसएसएल द्वारा प्रेषित किया गया हो या नहीं। एन्क्रिप्शन एसएसएल पाइप के दूसरे छोर पर आने के बाद डेटा की गोपनीयता की रक्षा करना है।
और, एसएसएल पाइप का दूसरा सिरा ब्राउज़र है। आईडीपी से ब्राउज़र तक एक पाइप है, और ब्राउज़र से दूसरे सेवा प्रदाता तक है। अगर सम्मिलन एन्क्रिप्ट नहीं किया गया है, तो दावा ब्राउज़र पर किसी के लिए उपलब्ध होगा। एक हमलावर भविष्य में एसएएमएल दस्तावेज़ों और बातचीत पर किसी प्रकार के हमले में अनएन्क्रिप्टेड नाम पहचानकर्ता का उपयोग कर सकता है।
लेकिन यदि कोई हमलावर ब्राउज़र का मालिक है तो क्या हम पहले ही खो चुके नहीं हैं? – sbc
"एन्क्रिप्शन एसएसएल पाइप के दूसरे छोर पर आने के बाद डेटा की गोपनीयता की रक्षा करना है।" यह मेरे लिए यह स्पष्ट कर दिया। धन्यवाद! – BernardMarx