Werden für AuthnRequest, Response und LogoutRequest, wenn Redirect und POST unterstützt werden (pro Metadaten), einer dem anderen vorgezogen?Sollte ein SP oder IdP Redirect oder POST bevorzugen, wenn beide verfügbar sind?
Antwort
Am häufigsten, Anfragen können entweder sein, aber Antworten sind POST. Dies wird durch die Sicherheit und die Größe der Assertion bestimmt.
Sicherheit: Bei Verwendung der Weiterleitung ist die Antwort Teil der URL. Daher kann es in verschiedenen Protokollen erfasst werden, wie in den Sicherheitsaspekten der Spezifikation, insbesondere Abschnitt 3.4.5.2 lines 670-1 of saml-bindings, angegeben.
Größe: Einige Unternehmen senden eine große Anzahl von Attributen, einschließlich großer Gruppen von Gruppen. Ich habe sogar gesehen, dass Avatare Assertions gesendet haben. Dies kann die Größe der Antwort sehr groß machen und in einigen Fällen die zulässige URL-Größe des Browsers überfordern.
Wenn keiner dieser Punkte von Bedeutung ist, kann beides verwendet werden.
- 1. Eine benutzerdefinierte Tastatur bevorzugen, wenn verfügbar
- 2. Wählen Sie ein IdP von SP (Shibboleth)
- 3. Sollte ich Alarme oder CountDownTimer oder beide verwenden?
- 4. Welcher AssertionConsumerServiceURL sollte ein IdP verwenden?
- 5. Klärung von SP vs IdP initiiert SSO
- 6. Shibboleth SP zu PingIdentity idp Connectivity
- 7. Wählen Sie entweder PNG oder PDF in Knitr, wenn beide verfügbar sind
- 8. Sollte ich gesiegelte Klasse oder Enumeration in Scala bevorzugen?
- 9. Sollte ich MonadUnliftIO oder MonadMask für ähnliche Funktionen bevorzugen?
- 10. Zwei Textfelder, eines oder beide, sind erforderlich
- 11. JSP - Redirect oder Rewrite mit Parametern (POST)
- 12. Siteminder SAML 2.0 SP zu IDP Partnerschaft
- 13. Python: bevorzugen mehrere kleine Module oder ein größeres Modul?
- 14. Wso2 ist 5.1.0 Federated Saml IDP - Redirect Bug?
- 15. SAML-Bindung von Post auf Redirect umschalten
- 16. htaccess rewrite bestehen zwei Variablen oder eine abhängig davon, ob beide verfügbar sind?
- 17. Sollte ich Schema.Types.ObjectId oder Schema.ObjectId Wenn ein Mungo-Schema definieren
- 18. Push-Benachrichtigungen oder Socket.io ?, oder beide?
- 19. Verwendung von SimpleSAML als SP und IDP für Entwicklungsumgebung
- 20. OpenAM IdP initiierte SSO-URL und SP initiierte SSO-URL
- 21. Problem mit SSO zwischen SAML SP und ADFS IdP
- 22. Redirect wenn iOS, Android oder Windows Phone
- 23. Wso2is als SP mit 3rd Party IDP initiierte SAML
- 24. Htaccess redirect oder rewrite
- 25. Shibboleth SP nicht auflösende Attribute gesendet von Shibboleth IDP
- 26. Warum sollte ich Stubs über Mocks bevorzugen?
- 27. Bootstrap oder Material Design Lite oder beide
- 28. OpenCL 1.2: mem_fence() oder barrier() oder beide
- 29. kann ADFS IDP "Benutzer nicht gefunden" an SP senden?
- 30. Anforderer/InvalidNameIDPolicy Fehler bei simpleSAMLphp SP und ADFS IDP
Ich bekomme, dass sie entweder sein können und dass Nachrichtengröße POST erfordern kann, aber wenn beide verfügbar und machbar sind, welche sollten verwendet werden? Ich bin mir nicht ganz sicher, ob ich das Sicherheitsargument gegen Redirect kaufe, da ein Zwischengerät die gesamte HTTP-Nutzlast und nicht nur die URL sieht, und es gibt eine Implikation, dass die Nachrichten nicht signiert sind oder dass die Signiermethode unsicher ist. Wenn POST das Heilmittel ist, könnte es ein größeres Problem geben. – Ben
Ich hatte nicht genug Kaffee, als ich antwortete. Ich habe einen Link zu der spezifischen Sicherheitsüberlegungsdifferenz hinzugefügt, die ich meinte (keine Zwischenspeicherung, sondern "Referer-Capture"). Hoffe, dass meine Änderungen helfen. Wenn nicht, lass es mich wissen. :) –
Ok, das macht mehr Sinn. Wenn dies wirklich in der Wildnis passieren kann, würde es Redirect extrem unsicher machen, zumal https keinen Schutz bieten würde. Vielen Dank. – Ben