SAML 2.0:请求与未经请求的 SSO
SAML 2.0: Solicited vs Unsolicited SSO
我是一名为 SSO 开发 SAML 2.0 功能的 SP。
SSO 将始终从 IdP 启动(用户将从他们已经登录的企业门户访问我的站点)。
所以,我想了解的是我是否应该只提供未经请求的(IdP 发起的)SSO,或者开发请求的(SP 发起的)SSO 是否仍然是最佳实践。如果是后者,那为什么我需要增加复杂性?
如果按照您的建议,用户将始终从 IDP 启动 - 实际上是 SP 连接到的每个 IDP - 那么就没有必要向您的 SP 添加 SP 启动的 SSO 支持。
当然,有人可能会争辩说,支持 SP 发起的 SSO 更通用,并且是 IDP 发起的 SSO 的超集,因为您可以从 IDP 门户外部触发 SSO,并在您的网站中包含 SP 发起的 SSO 链接企业门户。但在您的情况下,永远不需要前者,因此您可能只坚持使用 IDP 发起的 SSO,假设所有连接的 IDP 都支持它。
SP 发起的 SSO 是一般的最佳实践,OWASP states that“由于缺乏 CSRF 保护,未经请求的响应在设计上本质上不太安全。”。 =11=]
我是一名为 SSO 开发 SAML 2.0 功能的 SP。
SSO 将始终从 IdP 启动(用户将从他们已经登录的企业门户访问我的站点)。
所以,我想了解的是我是否应该只提供未经请求的(IdP 发起的)SSO,或者开发请求的(SP 发起的)SSO 是否仍然是最佳实践。如果是后者,那为什么我需要增加复杂性?
如果按照您的建议,用户将始终从 IDP 启动 - 实际上是 SP 连接到的每个 IDP - 那么就没有必要向您的 SP 添加 SP 启动的 SSO 支持。
当然,有人可能会争辩说,支持 SP 发起的 SSO 更通用,并且是 IDP 发起的 SSO 的超集,因为您可以从 IDP 门户外部触发 SSO,并在您的网站中包含 SP 发起的 SSO 链接企业门户。但在您的情况下,永远不需要前者,因此您可能只坚持使用 IDP 发起的 SSO,假设所有连接的 IDP 都支持它。
SP 发起的 SSO 是一般的最佳实践,OWASP states that“由于缺乏 CSRF 保护,未经请求的响应在设计上本质上不太安全。”。 =11=]