1

したがって、SAML2.0spで開始された構成にはいくつかの異なる実装プロファイルがあることがわかります。

  1. POST-POST
  2. リダイレクト-POST
  3. アーティファクト-POST
  4. POST-アーティファクト
  5. リダイレクト-アーティファクト
  6. アーティファクト-アーティファクト

それぞれの利点は何ですか?私たちはsp主導のアプローチを実装しており、エンドユーザーの観点からは、各プロファイルのエクスペリエンスは同じように見えますが、セキュリティへの影響が懸念されます。一方はもう一方より安全ですか?

ところで...IdPとしてOpenAMを実装し、SPライブラリとしてSimpleSAMLphpを実装しています。セットアップが特定のプロファイルのみをサポートすることをご存知の場合は、それも知りたいと思います。

4

1 に答える 1

2

正しく実装されていれば、すべてのバインディングのセキュリティは同様です。主な考慮事項は次のとおりです。

リダイレクト-大きなメッセージが送信されている場合には理想的ではない可能性があります。ブラウザには、最大URLサイズに関してさまざまな制限があります。AutheticationReqestのようなものの場合-それは一般的に適切です。

POST-認証応答のような大きなメッセージサイズに適しています。ほとんどの実装では、JavaScriptを使用してこれらを自動送信します。ユーザーがJavaScriptを有効にした最新のブラウザーを使用している場合は、おそらく問題ありません。

アーティファクト-古い、通常はモバイルのブラウザを対象としています。ブラウザを介して送信されるものは最小限です。バックエンドがSAMLメッセージを解決するために使用する小さなランダムなアーティファクトです。とはいえ、バックエンドシステムが相手に電話をかけることができるかどうかに依存しています。一部のネットワークセキュリティアーキテクチャでは、これが許可されていません。

ガイドラインについては、SAML2.0適合性ドキュメントを参照してください。たとえば、SSO応答ではリダイレクトは許可されていません。最も一般的には、デプロイメントでRedirect-POSTが使用されていることがわかります。選択した製品がこれらのバインディングをサポートすると確信しています。

于 2012-06-30T17:31:34.663 に答える