आमतौर पर, आर्टिफैक्ट बाध्यकारी का इरादा ब्राउज़र के माध्यम से SAML संदेशों के प्रवाह को कम करना है। यह ब्राउज़र प्रतिबंधों (ब्राउज़र जिनके पास क्वेरी स्ट्रिंग/POST पेलोड आकार पर सीमाएं हैं) या जावास्क्रिप्ट (ऑटो-सबमिट किए गए फॉर्मों के लिए) के लिए कोई समर्थन नहीं है, या यहां तक कि SAML संदेशों को कैसे पहुंचाया जा सकता है, के सुरक्षा मॉडल को बेहतर बनाने के लिए भी हो सकता है। कलाकृतियों का उपयोग करके, SAML Assertion/विशेषता कथन के माध्यम से किए गए संवेदनशील डेटा को ब्राउज़र के माध्यम से पारित नहीं किया जाता है, इसलिए इसे अंतिम उपयोगकर्ता या आपकी साइट और अंतिम उपयोगकर्ता के बीच हमलावरों से छुपाया जा सकता है। यह गोपनीय डेटा केवल बैक चैनल लुकअप के माध्यम से साइटों के बीच सीधे हल किया जाएगा।
SAML 2.0 Bindings specs की धारा 3.6.2 यह सबसे अच्छा सार रखते हैं:
HTTP विरूपण साक्ष्य बंधन जिन मामलों में SAML निवेदक और प्रत्युत्तर एक मध्यस्थ के रूप एक HTTP उपयोगकर्ता एजेंट का उपयोग कर बातचीत करने के लिए की जरूरत है के लिए है, लेकिन मध्यस्थ की सीमाओं को रोकना या पूरे संदेश (या संदेश विनिमय) के संचरण को हतोत्साहित करता है इसके माध्यम से। यह तकनीकी कारणों से हो सकता है या मध्यस्थ को संदेश सामग्री का पर्दाफाश करने के लिए अनिच्छा (और एन्क्रिप्शन का उपयोग व्यावहारिक नहीं है)। ध्यान दें कि की आवश्यकता के कारण अन्य सिंक्रोनस बाध्यकारी जैसे एसओएपी का उपयोग करके आर्टिफैक्ट को हल करने के लिए एसएमएल संदेश प्रेषक और प्राप्तकर्ता के बीच आर्टिफैक्ट के संचरण की रिवर्स दिशा में प्रत्यक्ष संचार पथ मौजूद होना चाहिए (संदेश और आर्टिफैक्ट आर्टिफैक्ट जारीकर्ता को वापस अनुरोध करने में सक्षम होना चाहिए)। आर्टिफैक्ट जारीकर्ता को राज्य को भी बनाए रखना चाहिए जबकि आर्टिफैक्ट लंबित है, जिसमें लोड-संतुलित वातावरण के प्रभाव हैं।
स्रोत
2012-11-29 03:52:37