程序员经验分享-hwhale

我是否应该要求 IdP 签署 SAML2 SSO 响应?

2023-11-27

我们的应用程序具有与 3 个不同 (Shibboleth) IdP 的 SAML2 SSO 集成。我们正在尝试添加第四个(也是 Shibboleth),但遇到了一些问题,因为我们的应用程序期望所有 SSO 响应都经过验证签名。其他 3 个正在签署他们的响应,但第 4 个没有,并且犹豫是否添加自定义配置来强制对我们的应用程序进行签名。

从技术上讲,我可以修改我们的应用程序以接受未签名的 SSO 响应,但我想知道我是否应该这样做。允许未签名的 SSO 响应有哪些陷阱?是否存在安全漏洞?

是否有任何 Shibboleth(或其他 SAML2 SSO)文档建议将签名响应作为最佳实践?


遵循 SAML 2.0 规范对 IdP 的唯一要求是对断言进行数字签名(请参阅http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf- 第 4.1.3.5 节)。这足以判断来自 IdP 的 SSO 操作是否应该受到与其联合的 SP 的信任。

签署外部响应是可选的。它有一些安全优势,例如防止消息插入或修改(请参阅第 6.1.3/6.1.5 节)http://docs.oasis-open.org/security/saml/v2.0/saml-sec-consider-2.0-os.pdf) - 但在实践中,它经常被省略,而不是依赖 SSL/TLS。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

singlesignon

signing

saml20

shibboleth

serviceprovider

我是否应该要求 IdP 签署 SAML2 SSO 响应? 的相关文章

  • 使用相同的密钥签署两个应用程序

    我构建了两个应用程序 第一个应用程序 com pakname pak1 第二个应用程序使用 com pakname pak2 包名称 然后我得到了一个密钥 mykey keystore 如果我使用相同的密钥对这两个应用程序进行签名并将它们发

  • IdentityServer4分别对每个客户端进行身份验证

    我使用两个不同的客户端 IdentityServer4提供API保护和登录表单 我可以配置客户端以避免单点登录吗 我的意思是 即使我登录了第一个客户端 我也需要登录第二个客户端 我的ID4配置 internal static IEnumer

  • auth.getAccessTokenAsync 的 Outlook 插件错误代码 13005

    所以我尝试在 Outlook 插件中使用单点登录 我已在以下位置注册了我的应用程序https apps dev microsoft com https apps dev microsoft com 在我的清单中我有

  • Spring Security SAML 断言过期和应用程序会话过期

    我对 SAML 断言到期与应用程序会话到期感到困惑 简而言之 当我们将应用程序部署在容器中时 就会创建一个会话 可以使用 web xml 中的以下条目控制此会话过期

  • 有没有办法确定 Android 应用程序是在运行时进行生产签名还是调试签名?

    有没有办法确定 Android 应用程序是在运行时进行生产签名还是调试签名 private static Boolean isDebugBuild null protected boolean isDebugBuild if isDebug

  • 处理 AJAX 请求上的 SAML 重定向

    我有几个 AngularJS 应用程序 全部使用 Spring Java 和 SAML 2 0 进行 SSO 利用 Spring Security SAML 扩展 我的 SSO ID 提供商是 OpenAM 一切运行良好 但是 我遇到了一种

  • ASP.NET MVC 单点登录和角色

    我使用类似于以下方法的内容跨 2 个 MVC 站点 称为 SiteA 和 SiteB 进行基本的单点登录 http forums asp net p 1023838 2614630 aspx http forums asp net p 10

  • 作为 SAML 令牌身份验证的一部分,URL 片段丢失;解决方法/标准模式?

    几种 Web 应用程序身份验证协议 例如 WS Federation 和 SAML 协议 即所谓的 被动 协议 显然还有 ASP NET Forms 身份验证 请参阅这个 StackOverflow 问题 https stackoverfl

  • 使用 C# 在 XML 中进行 SAML 断言

    这是我面临的问题 需要一些帮助 指导 我已经从我的引擎生成了一条 XML 消息 需要将其解析为服务 为此 我必须将该消息更改为 SOAP 消息并在其上插入 SAML 令牌 我正在尝试使用 C 代码执行此操作 以下是我生成的输入消息及其预期输

  • JavaScript XMLHttpRequest“网络错误”

    一般来说 我在 javascript 和 Web 开发方面缺乏经验 我正在从事的项目是一般公司培训计划的一部分 我们被指示使用 Google Chrome 作为主要测试浏览器 本质上 我正在编写一个将在公司内部网外部的客户端上运行的应用程序

  • 如何设置 Kibana SSO(通过 OAuth)? [关闭]

    Closed 这个问题是与编程或软件开发无关 help closed questions 目前不接受答案 我的公司非常努力地为所有第三方服务保留 SSO 我想让 Kibana 与我们的 Google Apps 帐户一起使用 那可能吗 如何

  • 在 iOS6 上切换设备上的 FB 帐户时 Facebook 授权失败

    我正在使用 Facebook SDK 3 1 1 在我的 iOS 应用程序中实现 FB Connect 在简单的情况下 无论是使用新的 FB 集成 在 iOS 上登录 还是通过 Web 视图返回到正常授权 在这两种情况下我都没有安装本机 F

  • ADFS/SAML2.0 - 如何通过联合元数据设置声明规则?

    我正在尝试针对 Web 应用程序的 Windows ADFS 实施 SAML 2 0 身份验证 到目前为止 我通过手动配置依赖方信任和分配的声明规则 成功地从 ADFS 进行了身份验证并获取了我需要的内容 现在 我想为我的应用程序提供联合元

  • 自定义 SAML 应用程序出现 AWS SSO“无访问错误”

    我正在尝试使用 AWS SSO 设置自定义 SAML 2 0 应用程序 但是 我从网络选项卡中收到以下错误 Status code 403 message No access type com amazonaws switchboard p

  • 在构建之前签署 iOS dylib

    我手中有一个 C 库 需要以 dylib 的形式编译为 iOS 我用过iOS cmake https github com leetal ios cmake该工具已经构建了一个库并创建了 Xcode 解决方案 我可以在目标部分找到该库 所以

  • 多个网站,单点登录设计[关闭]

    Closed 这个问题是基于意见的 help closed questions 目前不接受答案 我有个问题 我最近一直在做一些工作的一个客户有一系列具有不同登录机制的网站 他正在寻求慢慢迁移到单点登录他的网站机制 全部写在asp net m

  • VB6 和 .PFX 代码签名

    我的老板已经从 Comodo 获得了证书 而我一直在努力寻找获得证书问题的解决方案intoVB6 应用程序 证书本身是 VB6 格式的 我对这类事情几乎一无所知 Comodo 的人真是太乐于助人了 我的老板说他可以在互联网上找到一些东西 显

  • 使用当前用户的凭据进行 javamail NTLM 身份验证

    如何将 JavaMail API 与 NTLM 身份验证结合使用到 Exchange 服务器 而无需指定用户名和密码 而是自动使用当前登录用户的凭据 单点登录 我的目的是让我的客户端程序 在我公司网络中的 Windows 计算机上运行 能够

  • 如何使用 keycloak 强制每个客户端登录(最佳实践?)

    我们目前正在实施 keycloak 但我们面临着一个问题 我们不确定解决它的最佳方法是什么 我们有不同的网络应用程序使用单点登录 并且运行良好 我们遇到的问题是 当我们在一个 Web 应用程序中使用 sso 登录 然后在另一个 Web 应用

  • 使用 Spring Security 将数据库和 SAML 身份验证合并到一个应用程序中

    我正在尝试使用 spring security spring security starter 在 spring boot 2 2 4 应用程序中实现身份验证和授权 使用案例 根据用户名 我想将用户重定向到特定的身份验证提供商 如果用户名结

随机推荐

  • Javascript递归函数没有返回值?

    我正在解决一个代码战争问题 并且我很确定我已经让它工作了 function digital root n n n toString if n length 1 return parseInt n else let count 0 for l

  • Azure SQL 成本与 DocumentDB/CosmosDB 成本之间的比较

    有人对 Azure SQL 成本与 DocumentDB CosmosDB 成本进行过比较吗 我不清楚 Azure CosmosDB 成本中提供的 RU 例如 1 TB 数据库中的 1 个请求不能等于 1 GB 数据库中的 1 个请求 首先

  • WiX CustomAction ExeCommand 失败?

    我有一个命令行 我想在安装合并模块期间运行 由WiX 与下面的代码

  • 如何配置 CKEditor 以保留数据属性而不是删除它们?

    我使用 CKeditor 来编辑丰富的 HTML 页面 但某些 javascript 功能依赖于 CKeditor 的特殊属性 a 触发它们的标签 这些情况很少见 只有 5000 多条记录的数据库中的几条记录需要触发此功能 并且这个特定的

  • ActiveAdmin 和就地编辑

    我有一个系统 我使用 ActiveAdmin 来自动化后端 我想知道是否有人尝试对 ActiveAdmin 的表进行就地编辑 我看到一些有用的场景 键值表 如状态 类别等 和主从视图 订单和订单项 有人尝试过实施吗 有什么好的指点吗 我们使

  • Ansible:如果主机无法访问则中止执行

    摘要 如果任何主机无法访问 则立即中止 ansible playbook 的更好方法 如果任何一个主机无法访问 是否有办法中止 Ansible playbook 我发现 如果它无法到达主机 它仍然会继续并执行剧本中的所有戏剧 任务 我的所有

  • 为什么当使用相同状态调用 useState 时我的组件会呈现?

    我有一个带有布尔状态的简单功能组件 以及用于更改状态的按钮 它最初设置为true所以当我按下 true 按钮时 它不会渲染 但是 如果我按下 false 按钮 它会重新渲染 并且如果我再次按下 false 按钮 它会重新渲染 即使状态已经设

  • 发送多媒体命令

    Is there some way that I can send multimedia control commands like next song pause play vol up etc to the operating syst

  • 字段“___recordID”未标记为可查询

    我尝试下载具有特定记录类型的所有记录 该记录ID 与某个记录不匹配 但我收到错误 任何想法 我想我只能将手动添加的字段标记为可查询

  • 如何转换和提取Kafka接收器JDBC连接器中的字段

    我正在使用第 3 方 CDC 工具 将数据从源数据库复制到 Kafka 主题中 示例行如下所示 data USER ID string 1 USER CATEGORY string A beforeData Data USER ID str

  • 尝试重定向“git gc”输出

    我有一个 daily运行的 crontab 中的作业git gc在所有回购协议上 我正在尝试为该作业设置一个日志文件 但 I O 重定向不会产生我正在寻找的结果 我得到一个空白文件 我已经做了所有平常的事情 gt 2 gt 1等等都没有成功

  • iOS8 区域本地化(例如 pt-BR)?

    据我了解 iOS8 现在支持区域本地化 在本例中我想支持 pt BR See http www ibabbleon com iOS Language Codes ISO 639 html 我遇到了这个问题 使用全新的单视图应用程序对此进行测

  • 转储文件分析入门

    我正在使用旧版 VB6 COM 应用程序 该应用程序有时会导致 Windows 7 崩溃 我现在已经使用 Sysinternals 的 ProcDump 工具生成了其中一个崩溃的 dmp 文件 但是 我以前从未使用过转储文件 您会推荐哪些资

  • 从 ScrollView Swift 中删除子视图

    我使用 for 循环在滚动视图中创建标签和按钮 是否可以删除滚动视图内的所有对象 我想用新内容更新它 for peop in personArray scrollView clearContent Name label var label

  • 格式化 NSNumber 对象时如何指定小数位?

    我使用下面的一段 Objective C 代码来格式化 NSNumber 它在大多数情况下都工作正常 但是当 NSNumber 对象包含整数 没有小数部分 时 它并不能完全满足我的要求 UILabel label UILabel alloc

  • Python 多处理池卡住

    我正在尝试运行在网上找到的 python multiprocessing pool 模块的一些示例代码 代码是 def square x return x x if name main pool Pool processes 4 input

  • 如何区分类型是值类型还是引用类型?

    一些简单的类型 如 int string 等 很容易意识到它们是 ValueTypes 或 RefrenceTypes 但我想知道有什么方法可以区分吗 所有结构 枚举和本机类型都是值类型 在运行时你可以这样检查 Type type type

  • 如何为 HTTP GET 请求设置标头并触发文件下载?

    Update20140702 解决方案 详细答案作为博客文章 但我将其他答案之一标记为已接受 而不是我自己的 因为它让我成功了一半 并奖励我的努力 似乎无法通过以下链接设置 HTTP 请求标头 a href 并且只能使用XMLHttpReq

  • HTTP 请求在 Postman 中有效,但在 C# 代码中无效

    我想用 C 做一个简单的 HTTP 请求 但是有些东西不起作用 我得到的只是403 Forbidden状态码 当我尝试在邮递员中执行相同的请求时 一切正常 我尝试运行 Fiddler 并查看 Postman 发送的所有标头 我全部复制粘贴了

  • 我是否应该要求 IdP 签署 SAML2 SSO 响应?

    我们的应用程序具有与 3 个不同 Shibboleth IdP 的 SAML2 SSO 集成 我们正在尝试添加第四个 也是 Shibboleth 但遇到了一些问题 因为我们的应用程序期望所有 SSO 响应都经过验证签名 其他 3 个正在签署

热门标签