Unsere App verfügt über SAML2 SSO Integration mit 3 verschiedenen (Shibboleth) IdPs. Wir versuchen, eine vierte (auch Shibboleth) hinzuzufügen, aber einige Probleme, weil unsere App erwartet, dass alle SSO-Antworten nachweislich signiert werden. Diese anderen 3 signieren ihre Antworten, aber die vierte ist nicht und zögert, eine benutzerdefinierte Konfiguration hinzuzufügen, um die Signierung für unsere App zu erzwingen.Sollte ich IdPs benötigen, um SAML2 SSO-Antworten zu signieren?
Technisch könnte ich unsere App ändern, um nicht signierte SSO-Antworten zu akzeptieren, aber ich frage mich, ob ich sollte oder nicht. Was sind die Fallstricke, wenn Sie nicht signierte SSO-Antworten zulassen? Gibt es eine Sicherheitslücke?
Gibt es eine Shibboleth-Dokumentation (oder eine andere SAML2-SSO-Dokumentation), die das Unterzeichnen von Antworten als bewährte Methode empfiehlt?
Also, basierend auf den Dokumenten, wenn unsere App erfordert authn Antworten zu signieren, sind wir technisch nicht SAML2-konform? Alle unsere Antworten sind tatsächlich über HTTPS erzwungen. – danludwig
Die Signierung der SAML-Antwort oder -Assition hängt von der Bindung ab, die Sie verwenden. Da ich annahm, dass Sie die Nachricht über die POST-Bindung erhalten, muss entweder die Antwort und/oder die Bestätigung * vom IDP signiert werden, um die Integrität der Nachricht zu gewährleisten. Ich glaube, die Verwirrung rührt daher, dass ein Teil der Response unterzeichnet wird. Ich wäre überrascht, wenn Shibb eine nicht signierte Nachricht über POST gesendet hätte. – Ian