从身份提供者开始 SAML SSO 事务

【问题标题】:start a SAML SSO transaction from the identity provider从身份提供者开始 SAML SSO 事务
【发布时间】:2016-01-25 20:29:28
【问题描述】:

考虑这个架构https://developers.google.com/google-apps/sso/saml_reference_implementation。 用户将转到服务提供商并从那里重定向到身份提供商。
但是,在我的系统中,用户一开始就在身份提供者上,然后按一个链接转到服务提供者。
那么,我的问题是否存在跳过步骤 1 到 4 并直接从 5 开始的问题(生成 SAML“响应”并将其发送给服务提供商)。

【问题讨论】:

    标签: security web single-sign-on saml


    【解决方案1】:

    是的,这在 SAML 规范中称为主动响应。也称为 IDP 发起的 SSO。

    这取决于您使用的 IPD 和 SP 是否受支持。一般来说,我建议不要使用它。它打破了产品之间的互操作性,为 XSRF 攻击打开了大门

    【讨论】:

    • >它破坏了产品之间的互操作性,为 XSRF 攻击打开了大门 Stefan,我很少不同意你的观点……但我要去这里。它不应该做其中任何一个。符合规范的系统在这里不应该有任何互操作性问题(这就是协议存在的原因——定义一种标准的做事方式)。任何 SP 如果不对从 IdP 传递的 RelayState 进行完整性检查,以确保它是他们重定向到的“有效”位置,那是非常愚蠢的。
    • 同意不同意。我建议您阅读有关该主题的此讨论。很有意思。 shibboleth.net/pipermail/users/2014-December/018765.html
    • 显然,我也不同意 Scott 的观点。似乎 shib 不会为了理智而清理其不请自来的响应。相当愚蠢。
    猜你喜欢
    • 2013-04-19
    • 1970-01-01
    • 2018-08-10
    • 2014-11-27
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-07-02
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode