1
我想知道在公共URL中爲SAML配置提供元數據還是爲元數據文件提供IdP或SP是否存在任何主要安全問題。元數據包含用於加密的公鑰。關於在公開URL上提供SAML元數據的安全問題
如果有任何安全問題,它們是什麼?
A
回答
5
不,在提供元數據作爲公共資源時沒有任何安全問題。
通常會在元數據中提供公鑰以驗證簽名(使用公鑰,服務提供者 - 使用者 - 可以驗證身份提供者發送的SAML響應沒有被篡改)。
對於加密(可選在SAML),服務提供商需要將其公鑰發送給身份提供者。使用公鑰,身份提供商將能夠加密響應,並且只有服務提供商(使用私鑰)才能解密該響應。
1
這取決於您的組織的安全要求。
如果您的組織不希望保護公共密鑰材料,那麼你就可以發佈,讓無限的,未經驗證的訪問SAML元數據。
如果您的組織要保護公共密鑰材料,然後防止無限的,未經驗證的訪問的SAML元數據。
按照公共密鑰加密,公共密鑰意味着雙方之間自由共享,但在這種情況下,您的組織的安全團隊必須決定公共密鑰材料是否應該提供給意方只或向所有人公開提供。
相關問題
- 1. 關於服務提供商在春季安全saml的困惑
- 2. SAML服務提供商安全
- 3. SAML服務提供商彈簧安全
- 4. SAML如何真正提供安全性?
- 5. 爲SAML服務提供商提供適當的安全性
- 6. 如何安全解析SAML元數據?
- 7. 爲MongoDB提供安全性的問題
- 8. 公開Web服務,安全問題
- 9. 安全問題關於標題('location:some_page.php')
- 10. 是否有公開可用的SAML身份提供商?
- 11. 關於CORS的安全問題
- 12. 關於ajax的安全問題
- 13. 關於數據庫安全
- 14. 數據提供問題
- 15. 關於在LinkedIn上開發的問題
- 16. 關於window.postMessage()+ iframes +開發人員工具的安全問題
- 17. 安全問題關於序列化C#
- 18. 安全問題關於隱藏字段
- 19. Android:安全問題關於SQLite db
- 20. PHP URL安全問題
- 21. 有關SAML,OAuth的問題
- 22. 有關以編程方式訪問其他人提供的URL的安全問題
- 23. SAML - 爲服務提供商生成元數據文件
- 24. SAML服務提供者如何匹配IDP元數據信息?
- 25. Noob關於上傳和安全的問題
- 26. 安全問題關於Azure Windows上的SQL Server虛擬機
- 27. 關於公式問題
- 28. 如何在一個開放的數據庫上安全地提供免費的查詢訪問
- 29. PHPUnit的:數據提供程序問題
- 30. 用戶提供的CSS的安全問題?
我是SAML的新手,公鑰是如何工作的。如果未經授權的用戶訪問我們的公鑰並且知道我們公司的SSO的URL,他們是否能夠驗證自己? – johnsona
不,如果您是SP,他們(IdP)可以通過獲取公鑰和SSO URL向您發送SAML斷言,但是您(SP)必須驗證斷言是否信任發件人。如果你不信任,你很好的否認了這個請求。通過IdP和SP之間的元數據交換建立信任。如果你是IdP,情況也是如此。 – Zeigeist