saml-2.0 - SAML2:由 URL 加载的 SP/idP 元数据是否安全?
问题描述
我正在管理一个启用 SAML2 的 idP,现在我需要将一个 SP 导入 idP 服务器。
通常我只会从 SP 下载 xml,然后将其导入到我们的 idP 中。
但是,我正在阅读一份文档,该文档说可以只使用 HTTP(s) 将元数据加载到我们的 idP。(https://docs.spring.io/spring-security-saml/docs/1.0.0.RELEASE/reference/html/configuration-metadata.html#configuration-metadata-idp-http)
这似乎更方便(无需手动重新认证),但我担心这是否会降低我们的安全性。
所以我的问题是,通过 URL 加载 SP/idP 元数据是否安全?如果是这样,背后有什么原因吗?谢谢!
解决方案
你如何获得它次要于你如何验证它。元数据应由发行者签名,您的 IdP 在自动下载时应验证其上的签名。许多 IdP 使用UK Federation 元数据url 来自动摄取/更新 SP 元数据。元数据由联邦签名,因此 IdP 可以验证其完整性。
推荐阅读
- firebase - Flutter Fiebase 数据库从 Firebase 存储中获取 Image-url
- reactjs - 想要获取 html 组件作为图像,但总是 document.querySelector 返回 null
- javascript - Zapier - Javascript错误的自定义函数行为
- ruby-on-rails - Backtrace 仅重试失败的行内容 rails
- javascript - 如何绕过 401 未经授权的错误?
- c# - 如何在死锁情况下杀死任务
- python - 如何在 Python 中从 Web Scraping 构造数据框
- authentication - 如何将 Okta 添加人员详细信息捕获到我们的公司数据库中?
- python - Python Azure API 在创建虚拟机时抛出无法打印的异常
- sql - 在 Groovy 中将 null 传递给绑定参数