【问题标题】:Is identity providers ignores SAML specification or it isn't require that logout request and responces must be signed?身份提供者是否忽略了 SAML 规范,或者不需要对注销请求和响应进行签名?
【发布时间】:2019-05-20 12:25:23
【问题描述】:
SAML 规范接下来说“如果使用 HTTP POST 或重定向绑定,则必须对消息进行签名。”和 LogoutResponse 相同。但是,当我在不同的身份提供商(onelogin、auth0、duo、Azure AD)中查找设置时,我发现它们不需要服务提供商的证书即可进行单次注销(我发现只有一个例外,没关系)。
可能我不明白概念或错过了什么,请stackowerflow社区帮助我解决这种情况。
【问题讨论】:
标签:
certificate
saml
saml-2.0
single-logout
【解决方案1】:
你的理解是正确的。 SAML 规范规定必须对 SAML 注销消息进行签名。但是,并非所有 SAML 提供者都支持 SAML 注销,并且在那些支持者中,并非所有都支持签署 SAML 注销消息。如果注销消息未签名,这意味着第 3 方可能导致发生注销。这会很麻烦,但我不确定这是否存在安全风险。如果您正在寻找最大的互操作性,我建议 SAML 注销消息的签名是可配置的,这样您就可以根据合作伙伴提供商改变行为。