Security SSO-SP端SAML响应验证的行业实践
我们正在与客户一起实施SSO解决方案。由于其复杂性和时间敏感性,我们聘请了第三方安全合作伙伴公司,该公司可以充当SP,并在验证用户后重定向请求。 第三方公司现在告诉我,他们将向我们的应用程序发送SAML响应,以进一步验证 我的问题是,既然SAML响应已经在我们的第三方提供商(代表我们充当SP)进行了验证,为什么我们(应用程序所有者)还要执行SAML断言 我希望它是来自第三方的重定向,带有一些要验证的令牌,以便我们的应用程序可以跳过登录验证部分。Security SSO-SP端SAML响应验证的行业实践,security,single-sign-on,saml-2.0,opensso,Security,Single Sign On,Saml 2.0,Opensso,我们正在与客户一起实施SSO解决方案。由于其复杂性和时间敏感性,我们聘请了第三方安全合作伙伴公司,该公司可以充当SP,并在验证用户后重定向请求。 第三方公司现在告诉我,他们将向我们的应用程序发送SAML响应,以进一步验证 我的问题是,既然SAML响应已经在我们的第三方提供商(代表我们充当SP)进行了验证,为什么我们(应用程序所有者)还要执行SAML断言 我希望它是来自第三方的重定向,带有一些要验证的令牌,以便我们的应用程序可以跳过登录验证部分。 但我想和他们谈谈研究事实和行业实践。有人能帮忙吗?
但我想和他们谈谈研究事实和行业实践。有人能帮忙吗?如果我在这里遗漏了什么,请告诉我。将此类中间SP用于SSO(通常是遗留)应用程序时,通常的做法是:
- 在SP上处理并验证SAML身份验证响应和断言
- SP然后对公共域上的cookie或作为请求参数/HTTP头提供的令牌进行编码
- cookie/token通常使用具有共享秘密的对称加密技术构造,例如HMAC
- SP将用户重定向到验证提供的cookie或令牌并授予访问权限的应用程序