Werden für AuthnRequest, Response und LogoutRequest, wenn Redirect und POST unterstützt werden (pro Metadaten), einer dem anderen vorgezogen?Sollte ein SP oder IdP Redirect oder POST bevorzugen, wenn beide verfügbar sind?
Am häufigsten, Anfragen können entweder sein, aber Antworten sind POST. Dies wird durch die Sicherheit und die Größe der Assertion bestimmt.
Sicherheit: Bei Verwendung der Weiterleitung ist die Antwort Teil der URL. Daher kann es in verschiedenen Protokollen erfasst werden, wie in den Sicherheitsaspekten der Spezifikation, insbesondere Abschnitt 3.4.5.2 lines 670-1 of saml-bindings, angegeben.
Größe: Einige Unternehmen senden eine große Anzahl von Attributen, einschließlich großer Gruppen von Gruppen. Ich habe sogar gesehen, dass Avatare Assertions gesendet haben. Dies kann die Größe der Antwort sehr groß machen und in einigen Fällen die zulässige URL-Größe des Browsers überfordern.
Wenn keiner dieser Punkte von Bedeutung ist, kann beides verwendet werden.
Ich bekomme, dass sie entweder sein können und dass Nachrichtengröße POST erfordern kann, aber wenn beide verfügbar und machbar sind, welche sollten verwendet werden? Ich bin mir nicht ganz sicher, ob ich das Sicherheitsargument gegen Redirect kaufe, da ein Zwischengerät die gesamte HTTP-Nutzlast und nicht nur die URL sieht, und es gibt eine Implikation, dass die Nachrichten nicht signiert sind oder dass die Signiermethode unsicher ist. Wenn POST das Heilmittel ist, könnte es ein größeres Problem geben. – Ben
Ich hatte nicht genug Kaffee, als ich antwortete. Ich habe einen Link zu der spezifischen Sicherheitsüberlegungsdifferenz hinzugefügt, die ich meinte (keine Zwischenspeicherung, sondern "Referer-Capture"). Hoffe, dass meine Änderungen helfen. Wenn nicht, lass es mich wissen. :) –
Ok, das macht mehr Sinn. Wenn dies wirklich in der Wildnis passieren kann, würde es Redirect extrem unsicher machen, zumal https keinen Schutz bieten würde. Vielen Dank. – Ben