내가 고객 환경에서 웹 SSO를 증명하는 기술로 SAML 1.1의 사용을 제안하고있어 프로필, 그들은 나에게 흥미로운 질문 :편리한 응용 프로그램/아티팩트 SAML은
시나리오 브라우저/POST 프로필이 적절하며 SAML의 브라우저/아티팩트 프로필이 적절한 시나리오는 무엇입니까?
사실 SAML 1.1 Specifications 두 브라우저 프로필 모두에 대해 가장 적합한 시나리오는 아닙니다.
각 보안 위협이 최상의 선택에 사용될 수 있습니다. 내 비전에서 두 시나리오는 지금까지 어떤 시나리오에서도 동등하게 적용될 수 있습니다.
* 참고 :이 솔루션은 Weblogic Server 10.0 및 SAML 1.1 지원을 사용합니다.
두 프로필 모두 비슷한 수준의 보안을 제공합니다. POST 프로파일을 사용하면 사용자가 명시 적으로 POST를 시작해야합니다. 이것은 CSRF 공격의 라인을 따라 뭔가를 방해하는 데 도움이 될 수 있지만 실제 공격에 대해서는 알지 못합니다. GET 메서드를 사용하는 Artifact 프로필은 사용자에게 더 매끄러운 환경을 제공 할 수 있습니다.
나를 위해, 아티팩트 프로필의 단점은 백 채널을 열 때의 복잡성입니다. 내 응용 프로그램 서버는 스레드를 사용자 요청을 처리하는 데 사용하며 스레드가 차단되어 있으면 (백 채널 IO 완료를 기다리는 동안) 매우 오랫동안 응용 프로그램 서버가 매우 열악하게 수행되기 시작합니다. 따라서 백 채널 통신은 정해진 시간이 지나면 타임 아웃되도록 매우 조심스럽게 수행되어야합니다.
IdP가 다운 된 경우에도 사용자에게 IdP에 오류가 있음이 분명하지 않습니다. POST 프로필을 사용하면 IdP가 잘못 작동하면 사용자가 나를 비난 할 가능성이 줄어 듭니다.
보안 측면에서 가장 큰 차이점은 POST 프로필의 경우 SAML 응답 (어설 션 포함)은 최종 사용자의 브라우저를 통해 이동하므로 아무것도 서명되어 있지 않으면 암호화되어야한다는 것입니다 당신은 최종 사용자가 볼 수 있기를 원하지 않을 것입니다.
아티팩트 프로필을 사용하면 SSL을 사용하여 백 채널을 보호하고 서명되지 않은 암호화되지 않은 어설 션을 IdP에서 SP로 직접 전달하므로 SSL을 사용하여 서명되지 않은 암호화되지 않은 어설 션을 보낼 수 있습니다. 그래도 부인 방지를위한 주장에 서명하고 싶을 수도 있습니다.
Erickson이 언급했듯이 SP에서 IdP로 아웃 바운드 '백 채널'연결을 설정하는 것은 자체적 인 문제가 있습니다. 내가 본 대부분의 SAML 배치는 이런 이유로 POST를 사용합니다.
현재 - 2.0이 아닌 SAML 1.1을 사용하는 이유는 무엇입니까?
Artifact를 사용하더라도 사용자는 IdP에서 가져와야합니다. 따라서이 당사국과의 최초 접촉은 의무입니다. 그러나 당신은 백 채널 문제에서 옳습니다. Mybe가 선택됩니다. 다음 답을 보자. 에릭슨에게 정말 감사드립니다. – paulosuzart