हमारे ऐप में 3 अलग-अलग (शिबबोलेथ) आईडीपी के साथ SAML2 एसएसओ एकीकरण है। हम एक चौथाई (शिबबोलेथ) जोड़ने की कोशिश कर रहे हैं, लेकिन कुछ मुद्दों पर चल रहे हैं, क्योंकि हमारे ऐप से उम्मीद है कि सभी एसएसओ प्रतिक्रियाओं को सत्यापित रूप से हस्ताक्षरित किया जाएगा। ये अन्य 3 अपने प्रतिक्रियाओं पर हस्ताक्षर कर रहे हैं, लेकिन चौथा नहीं है, और हमारे ऐप के लिए साइन इन करने के लिए कस्टम कॉन्फ़िगरेशन जोड़ने में संकोच नहीं है।क्या मुझे एसएएमएल 2 एसएसओ प्रतिक्रियाओं पर हस्ताक्षर करने के लिए आईडीपी की आवश्यकता होनी चाहिए?
तकनीकी रूप से मैं बिना किसी हस्ताक्षरित एसएसओ प्रतिक्रिया स्वीकार करने के लिए हमारे ऐप को संशोधित कर सकता हूं, लेकिन मुझे आश्चर्य है कि मुझे क्या करना चाहिए या नहीं। हस्ताक्षरित एसएसओ प्रतिक्रियाओं की अनुमति देने के नुकसान क्या हैं? क्या कोई सुरक्षा भेद्यता है?
क्या कोई शिबबोलेथ (या अन्य SAML2 एसएसओ) दस्तावेज है जो प्रतिक्रियाओं को सर्वोत्तम अभ्यास के रूप में हस्ताक्षर करने की सिफारिश करता है?
तो फिर, दस्तावेज़ों के आधार पर, यदि हमारे ऐप को हस्ताक्षर किए जाने के लिए लेखांकन प्रतिक्रिया की आवश्यकता है, तो क्या हम तकनीकी रूप से SAML2 अनुपालन नहीं कर रहे हैं? हमारे सभी प्रतिक्रियाओं को वास्तव में HTTPS पर मजबूर किया जाता है। – danludwig
SAML प्रतिक्रिया या सम्मिलन का हस्ताक्षर आपके द्वारा उपयोग किए जा रहे बाध्यकारी पर निर्भर है। चूंकि मुझे लगता है कि आप पोस्ट बाइंडिंग के माध्यम से संदेश प्राप्त कर रहे हैं, तो संदेश अखंडता सुनिश्चित करने के लिए या तो प्रतिक्रिया और/या दावा * आईडीपी द्वारा हस्ताक्षरित होना चाहिए। मुझे लगता है कि प्रतिक्रिया का क्या हिस्सा हस्ताक्षर किए जा रहे हैं से भ्रम पैदा हो रहा है। मुझे आश्चर्य होगा कि शिब ने पोस्ट के माध्यम से एक हस्ताक्षरित संदेश भेजने की अनुमति दी थी। – Ian