【发布时间】:2015-01-12 10:30:02
【问题描述】:
我是一名为 SSO 开发 SAML 2.0 功能的 SP。
SSO 将始终从 IdP 启动(用户将从他们已经登录的企业门户访问我的站点)。
因此,我想了解的是,我是否应该只提供主动(IdP 发起)的 SSO,还是开发主动(SP 发起)SSO 的最佳做法。如果是后者,那我为什么需要增加复杂性?
【问题讨论】:
【发布时间】:2015-01-12 10:30:02
【问题描述】:
如果按照您的建议,用户将始终从 IDP(实际上是 SP 连接到的每个 IDP)启动,则无需将 SP 启动的 SSO 支持添加到您的 SP。
当然,有人可能会争辩说,支持 SP 发起的 SSO 更为通用,是 IDP 发起的 SSO 的超集,因为您可以从 IDP 门户外部触发 SSO,并在您的企业门户中包含 SP 发起的 SSO 链接.但在您的情况下,永远不需要前者,因此您可以只坚持 IDP 发起的 SSO,假设所有连接的 IDP 都支持它。
【讨论】:
-
嗨,汉斯,感谢您的回复。你说'假设所有连接的 IDP 都支持这一点'。 IDP 仅支持 SP 发起的 SSO 是否普遍?对不支持 IdP 发起的 SSO 的企业百分比有任何“直觉”吗?
-
有根据的猜测:1%,但您只需要与实际的 IDP 进行验证
SP 发起的 SSO是一般最佳实践,OWASP states that“由于缺乏 CSRF 保护,未经请求的响应在设计上本质上不太安全。”
【讨论】: