我們的應用將SAML2 SSO與3種不同的(Shibboleth)IdP集成在一起。我們正在嘗試添加第4個(也是Shibboleth),但遇到了一些問題,因爲我們的應用程序預計所有的SSO響應都會被驗證簽名。其他3人正在對他們的回覆進行簽名,但第四人並沒有,並且不願意添加自定義配置來強制爲我們的應用程序進行簽名。我是否需要IdP簽署SAML2 SSO響應?
從技術上講,我可以修改我們的應用程序接受未簽名的SSO響應,但我想知道我是否應該。允許未簽名的SSO響應有哪些缺陷?有沒有安全漏洞?
是否有任何Shibboleth(或其他SAML2 SSO)文檔建議將響應簽名爲最佳做法?
那麼,根據文檔,如果我們的應用程序需要簽名authn響應,我們在技術上不符合SAML2?我們所有的迴應確實都是通過HTTPS強制的。 – danludwig
對SAML響應或斷言的簽名取決於您正在使用的綁定。由於我假定您通過POST綁定接收到消息,因此響應和/或斷言*必須由IDP簽名以確保消息的完整性。我認爲混淆是由於簽署了哪部分答覆。如果Shibb允許通過POST發送未簽名的消息,我會感到驚訝。 – Ian