私たちのアプリには、3つの異なる(Shibboleth)IdPとのSAML2SSO統合があります。4番目(Shibbolethも)を追加しようとしていますが、すべてのSSO応答が検証可能に署名されていることをアプリが想定しているため、いくつかの問題が発生しています。これらの他の3つは応答に署名していますが、4つ目はそうではなく、アプリの署名を強制するためのカスタム構成を追加することを躊躇しています。
技術的には、署名されていないSSO応答を受け入れるようにアプリを変更できますが、そうすべきかどうか疑問に思っています。署名されていないSSO応答を許可することの落とし穴は何ですか?セキュリティの脆弱性はありますか?
ベストプラクティスとして応答に署名することを推奨するShibboleth(または他のSAML2 SSO)ドキュメントはありますか?
SAML 2.0仕様に従ったIdPの唯一の要件は、アサーションにデジタル署名することです(http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf-セクションを参照) 4.1.3.5)。これは、IdPからのSSO操作がそれとフェデレーションされたSPによって信頼されるべきかどうかを判断するのに十分です。
外部応答への署名はオプションです。メッセージの挿入や変更を防ぐなど、セキュリティ上の利点がいくつかあります(http://docs.oasis-open.org/security/saml/v2.0/saml-sec-のセクション6.1.3 / 6.1.5を参照)。検討-2.0-os.pdf)-しかし実際には、SSL/TLSに依存する代わりに省略されることがよくあります。
回答に署名することの全体的なポイントは、それらが実際に発行者からのものであることを証明することです。そうしないと、「中間者」が属性を変更して、アプリケーションへのアクセスを許可する可能性があります。
デフォルトでSAMLを使用するADFSv2.0は、すべての応答トークンに署名します。これをオフにする方法はありません。