在 public URL 上提供 SAML 元数据的安全问题
Security concerns with providing SAML metadata on public URL
我想知道在 public URL 上为 SAML 配置提供元数据与向 IdP 或 SP 提供元数据文件相比是否存在任何重大安全问题。元数据包括用于加密的 public 密钥。
如果有任何安全问题,它们是什么?
不,将元数据作为 public 资源提供没有安全问题。
Public 密钥通常会在元数据中提供,用于验证签名(使用 public 密钥,服务提供者 - 消费者 - 可以验证身份提供者发送的 SAML 响应具有未被篡改)。
对于加密(在 SAML 中可选),服务提供商需要将其 public 密钥发送给身份提供商。使用 public 密钥,身份提供者将能够加密响应,只有服务提供者(使用私钥)才能对其进行解密。
这取决于您组织的安全要求。
如果您的组织不想保护 public 密钥 material,那么您可以发布,允许对 SAML 元数据进行无限制和未经身份验证的访问。
如果您的组织想要保护 public 密钥 material,则保护 SAML 元数据免受无限制和未经身份验证的访问。
根据 Public 密钥密码学,public 密钥应在各方之间自由共享,但在这种情况下,您组织的安全团队必须决定 public 密钥是否material 应该只对目标方可用,或者 public 只对所有人可用。
我想知道在 public URL 上为 SAML 配置提供元数据与向 IdP 或 SP 提供元数据文件相比是否存在任何重大安全问题。元数据包括用于加密的 public 密钥。
如果有任何安全问题,它们是什么?
不,将元数据作为 public 资源提供没有安全问题。
Public 密钥通常会在元数据中提供,用于验证签名(使用 public 密钥,服务提供者 - 消费者 - 可以验证身份提供者发送的 SAML 响应具有未被篡改)。
对于加密(在 SAML 中可选),服务提供商需要将其 public 密钥发送给身份提供商。使用 public 密钥,身份提供者将能够加密响应,只有服务提供者(使用私钥)才能对其进行解密。
这取决于您组织的安全要求。
如果您的组织不想保护 public 密钥 material,那么您可以发布,允许对 SAML 元数据进行无限制和未经身份验证的访问。
如果您的组织想要保护 public 密钥 material,则保护 SAML 元数据免受无限制和未经身份验证的访问。
根据 Public 密钥密码学,public 密钥应在各方之间自由共享,但在这种情况下,您组织的安全团队必须决定 public 密钥是否material 应该只对目标方可用,或者 public 只对所有人可用。