这在SAML中是可能的吗?
这在SAML中是可能的吗?
提问于 2020-04-15 10:13:46
情景:考虑一个庞大而多样的身份认同和服务提供商联盟。由于信任程度一般较低,身份提供者不愿意提供任何类型的个人可识别信息(PII)。
现在有一些服务需要PII,相应的SPs遵循一些更高的标准,这些标准是由已知的(对有关的国内流离失所者)中心实例认证的。
问:中央实例是否可能发出一些证书(在签名和可撤销方面像服务器证书一样工作),告诉它这是一个特别受信任的SP,并且SP可以向验证它的IDP提交证书,而不是颁发PII?它能用SAML实现吗?
注意:简单地在SP上拥有一些未经认证的属性显然是不可能的:一旦这个属性被潜在的流氓SP所知道,他们就可以窃取(即复制)并自己使用它。
回答 1
Security用户
回答已采纳
发布于 2020-04-15 16:24:01
SP在需要令牌时发送samlp:AuthnRequest。可以对此请求进行签名,IdP可以决定响应是否应该包含它想要的任何内容。见第3.4.1节“元素AuthnRequest”。
但是,哪一个密钥用于签署请求、谁发出证书以及密钥如何落入SP手中都超出了协议的范围。
它还要求双方支持这样的配置文件,因为您可以有国内流离失所者启动和SP启动的请求。
或者,一些服务通过将属性加密到只有SP知道并内置到协议中的密钥来处理这个问题。这也需要带外配置,但可以处理所有配置文件类型.
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/229842
复制相关文章
相似问题
腾讯云开发者
