validation - 是否有必要验证 SAML 断言

Question

作为服务提供商，我试图通过从身份提供商 (IdP) 获取 SAML 断言 (SAML 1.0) 来验证我的页面上的用户。执行以下步骤(非常抽象):

用户访问我的页面

我将用户重定向到用户进行身份验证的 IdP

我得到一个 SAML 工件，我用它向 IdP

请求 SAML 断言

IdP 将 SAML 断言直接发送回我的页面

?

这个过程是否足以确保用户身份验证是合法的？
我只是在第 5 步中授予用户访问我的服务的权限，还是必须通过验证断言中的签名来确保 SAML 断言有效？如果是这样，我该怎么做？我错过了任何其他步骤吗？

Answer 1

我的简短个人建议:如果 IDP 已经签署了断言，那么验证它的 key 应该已经在元数据中，验证它应该是一个简单的操作并且具有很大的安全优势。就这样做吧。

然而......(长答案)
总是很难说什么是安全的，什么不是。这一切都取决于您需要对您的网站有多安全。使用断言是一种使其更安全的方法。

这样用户本身就不能编辑断言。签名是更安全的一步，它确保断言来自 IDP 并且没有被更改。

没有它，攻击者就有可能伪装成 IDP，将工件重定向到自己的服务器。然后攻击者可以用他想要的任何断言来回应。另一种情况是，如果断言不受签名保护，它可能会在 Internet 上传输时在某处更改。

对于任何安全控制，您都必须权衡用户身份验证对您的重要性以及绕过它的人的后果。