顧客環境で Web SSO を証明する技術として SAML 1.1 の使用を提案しているのですが、興味深い質問がありました。
どのシナリオのブラウザ/POST プロファイルが適切で、どのシナリオのブラウザ/SAML のアーティファクト プロファイルが適切ですか?
実際、SAML 1.1 の仕様では、両方のブラウザ プロファイルについて、最善または最適なシナリオについては言及されていません。
おそらく、それぞれのセキュリティ上の脅威を使用して、最良のものを選択できます. 私のビジョンでは、これまでのところ、どちらもどのシナリオにも等しく適用できます。
*注意: このソリューションは、Weblogic Server 10.0 とその SAML 1.1 へのサポートを使用します。
どちらのプロファイルも同様のレベルのセキュリティを提供しているように思えました。POST プロファイルでは、ユーザーは明示的に POST を開始する必要があります。これは、CSRF 攻撃に沿って何かを阻止するのに役立つかもしれませんが、実際のエクスプロイトについては知りません。Artifact プロファイルは、GET メソッドを使用することで、よりシームレスなエクスペリエンスをユーザーに提供できます。
私にとって、Artifact プロファイルの欠点は、バック チャネルを開く際の複雑さです。私のアプリケーション サーバーはユーザー リクエストの処理専用のスレッドを持っています。そのスレッドが非常に長い間ブロックされている (バックチャネル IO が完了するのを待っている) 場合、アプリ サーバーのパフォーマンスが非常に低下し始めます。そのため、バックチャネル通信は非常に慎重に実行して、定義された時間が経過した後にタイムアウトになるようにする必要があります。
それでも、IdP がダウンして問題が発生した場合でも、ユーザーにとっては、障害が IdP にあることは明らかではありません。POST プロファイルを使用すると、IdP が不適切な動作をしていても、ユーザーが私を責める可能性は低くなります。
セキュリティの面での主な違いは、POST プロファイルでは、SAML 応答 (アサーションを含む) がエンドユーザーのブラウザーを経由して移動するため、少なくとも署名し、必要に応じて暗号化する必要があることです。エンドユーザーが見られるようにしたい。
Artifact プロファイルを使用すると、SSL を使用してバックチャネルを保護し、署名も暗号化もされていないアサーションを送信できます。これは、アサーションが IdP から SP に直接渡されるためです。ただし、否認防止のためにアサーションに署名することもできます。
ただし、Erickson が言及しているように、SP から IdP へのアウトバウンド「バックチャネル」接続のセットアップには、独自の課題があります。私が見たほとんどの SAML 展開は、この理由で POST を使用しています。
ところで - 2.0 ではなく SAML 1.1 を使用している理由はありますか?