1. घर
  2. सवाल और जवाब
  3. एसएएमएल आर्टिफैक्ट का उद्देश्य क्या है?

एसएएमएल आर्टिफैक्ट का उद्देश्य क्या है?

2012-11-28 11 views
30

मैंने फ्लो चार्ट का एक समूह देखा है कि यह पहचान प्रदाता (आईडीपी), सेवा प्रदाता (एसपी), और ब्राउज़र के माध्यम से रीडायरेक्ट के माध्यम से कैसे पारित किया जाता है। हालांकि यह अभी मेरे लिए अनावश्यक लगता है, इसलिए मुझे पता है कि मुझे कुछ याद आ रहा है।

क्या कोई मुझे एक उपयोग केस प्रदान कर सकता है जहां एक एसएएमएल आर्टिफैक्ट की आवश्यकता होती है (या बहुत उपयोगी) एक का उपयोग न करने की तुलना में?एसएएमएल आर्टिफैक्ट का उद्देश्य क्या है?

धन्यवाद।

स्रोत

2012-11-28 funa68

उत्तर

58

आमतौर पर, आर्टिफैक्ट बाध्यकारी का इरादा ब्राउज़र के माध्यम से SAML संदेशों के प्रवाह को कम करना है। यह ब्राउज़र प्रतिबंधों (ब्राउज़र जिनके पास क्वेरी स्ट्रिंग/POST पेलोड आकार पर सीमाएं हैं) या जावास्क्रिप्ट (ऑटो-सबमिट किए गए फॉर्मों के लिए) के लिए कोई समर्थन नहीं है, या यहां तक ​​कि SAML संदेशों को कैसे पहुंचाया जा सकता है, के सुरक्षा मॉडल को बेहतर बनाने के लिए भी हो सकता है। कलाकृतियों का उपयोग करके, SAML Assertion/विशेषता कथन के माध्यम से किए गए संवेदनशील डेटा को ब्राउज़र के माध्यम से पारित नहीं किया जाता है, इसलिए इसे अंतिम उपयोगकर्ता या आपकी साइट और अंतिम उपयोगकर्ता के बीच हमलावरों से छुपाया जा सकता है। यह गोपनीय डेटा केवल बैक चैनल लुकअप के माध्यम से साइटों के बीच सीधे हल किया जाएगा।

SAML 2.0 Bindings specs की धारा 3.6.2 यह सबसे अच्छा सार रखते हैं:

HTTP विरूपण साक्ष्य बंधन जिन मामलों में SAML निवेदक और प्रत्युत्तर एक मध्यस्थ के रूप एक HTTP उपयोगकर्ता एजेंट का उपयोग कर बातचीत करने के लिए की जरूरत है के लिए है, लेकिन मध्यस्थ की सीमाओं को रोकना या पूरे संदेश (या संदेश विनिमय) के संचरण को हतोत्साहित करता है इसके माध्यम से। यह तकनीकी कारणों से हो सकता है या मध्यस्थ को संदेश सामग्री का पर्दाफाश करने के लिए अनिच्छा (और एन्क्रिप्शन का उपयोग व्यावहारिक नहीं है)। ध्यान दें कि की आवश्यकता के कारण अन्य सिंक्रोनस बाध्यकारी जैसे एसओएपी का उपयोग करके आर्टिफैक्ट को हल करने के लिए एसएमएल संदेश प्रेषक और प्राप्तकर्ता के बीच आर्टिफैक्ट के संचरण की रिवर्स दिशा में प्रत्यक्ष संचार पथ मौजूद होना चाहिए (संदेश और आर्टिफैक्ट आर्टिफैक्ट जारीकर्ता को वापस अनुरोध करने में सक्षम होना चाहिए)। आर्टिफैक्ट जारीकर्ता को राज्य को भी बनाए रखना चाहिए जबकि आर्टिफैक्ट लंबित है, जिसमें लोड-संतुलित वातावरण के प्रभाव हैं।

स्रोत

2012-11-29 03:52:37

9

एक एसएएमएल संदेश मूल्य या संदर्भ द्वारा एक इकाई से दूसरे में प्रेषित किया जाता है। एक SA12 संदेश में संदर्भ को आर्टिफैक्ट कहा जाता है। आर्टिफैक्ट का रिसीवर आर्टिफैक्ट के जारीकर्ता को सीधे अनुरोध भेजकर संदर्भ को हल करता है, जो तब आर्टिफैक्ट द्वारा संदर्भित वास्तविक संदेश के साथ प्रतिक्रिया करता है।

SAML 2.0,

देखें विरूपण साक्ष्य के बिना वास्तविक संदेश को पाने के लिए कोई रास्ता नहीं है।

ध्यान दें कि HTTP आर्टिफैक्ट बाध्यकारी का उपयोग करते समय यह केवल आवश्यक है। (अधिक सामान्य HTTP पोस्ट बाध्यकारी के विपरीत जो सरल एसएएमएल संदेश भेजता है)।

स्रोत

2012-11-29 00:52:13 nzpcmad

1

HTTP आर्टिफैक्ट बाध्यकारी का उपयोग करने का एक अन्य कारण यह है कि आप SAML संदेश अखंडता और गोपनीयता सुनिश्चित करने के लिए SSL का उपयोग कर सकते हैं। SAML अनुरोधकर्ता और उत्तरदाता को SAML संदेश पर हस्ताक्षर करने, सत्यापित करने, एन्क्रिप्ट करने और डिक्रिप्ट करने की आवश्यकता नहीं है।

स्रोत

2013-03-09 13:29:11 fajarkoe

24

स्कॉट टी के उत्तर पर विस्तार, SAML आर्टिफैक्ट प्रोफ़ाइल को सुरक्षा में सुधार के लिए डिज़ाइन किया गया था। किसी उपयोगकर्ता को इसके SAML Assertion मध्य-ट्रैफ़िक को संशोधित करने से रोकने के लिए (जैसे उपयोगकर्ता नाम, भूमिकाएं इत्यादि बदलना), SAML 2.0 बताता है कि डेवलपर XML हस्ताक्षर के माध्यम से दावाों पर हस्ताक्षर करते हैं। एक्सएमएल हस्ताक्षर मौजूदा एक्सएमएल पार्सर्स की हर भाषा में मुद्दों के कारण एक्सएमएल रैपिंग हमलों के लिए बेहद कमजोर हैं। एसएएमएल दावे के खिलाफ कार्रवाई में एक्सएमएल रैपिंग हमलों को देखने के लिए https://www.usenix.org/conference/usenixsecurity12/breaking-saml-be-whoever-you-want-be पर जाएं।

एसएएमएल आर्टिफैक्ट प्रोफाइल उपयोगकर्ता द्वारा (रीडायरेक्ट या पोस्ट के माध्यम से) सेवा प्रदाता को पास करने के लिए एक बार का उपयोग "आर्टिफैक्ट" बनाकर इस समस्या को हल करता है, फिर SAML Assertion। जब सेवा प्रदाता को एक बार उपयोग आर्टिफैक्ट प्राप्त होता है, तो यह पहचान प्रदाता की आर्टिफैक्ट समाधान सेवा (एआरएस) में एक एसएएमएल आर्टिफैक्ट समाधान अनुरोध (आर्टिफैक्ट युक्त) भेजता है। एआरएस तब एसएएमएल आर्टिफैक्ट रिस्पॉन्स (उपयोगकर्ता के एसएएमएल एसेशन सहित) के साथ प्रतिक्रिया करता है जिससे उपयोगकर्ता द्वारा कभी भी संशोधित होने से SAML Assertion को रोक दिया जाता है क्योंकि इसे सीधे बैक चैनल पर सेवा प्रदाता द्वारा प्राप्त किया जाता है।

स्रोत

2013-07-03 15:19:17 dsutherland

1

यह ब्याज से बाहर आजकल माना जा सकता है, लेकिन यदि आप उपयोगकर्ता एजेंट और एसपी & आईडीपी सर्वर और एसपी & आईडीपी के बीच एक बेहतर बैंडविड्थ के बीच एक कम बैंडविड्थ है विरूपण साक्ष्य प्रोफ़ाइल भी उपयोगी है। (भारी) दावा आईडी से ua तक और यूए से स्पा तक फैलता नहीं है और यह कुछ परिसंचरणों में बेहतर प्रदर्शन दिखा सकता है।

स्रोत

2014-04-22 14:54:12

संबंधित मुद्दे
नवीनतम प्रश्न

 संबंधित मुद्दे