SAML-Bindung von Post auf Redirect umschalten

Question

Als SP haben wir uns für die POST-Bindungsoption entschieden - es schien der empfohlene Ansatz zu sein. SAML ist jetzt eingerichtet und arbeitet mit dem IDP. Wir möchten nun zu Redirect wechseln, da es in Ajax-Aufrufen nach Timeout besser gehandhabt wird.

Meine Frage ist, ob wir von POST zu Redirect wechseln können, ohne eine Einrichtungsänderung auf der IDP-Seite zu machen. Da beide Bindungen nur den UserAgent (Browser) als Transport verwenden, dachte ich, dass es möglich ist. Die Bindung ist jedoch im AssertionConsumerService in den Metadaten definiert, was darauf hinweist, dass IDP informiert werden muss und dass seine Konfiguration geändert werden muss.

Answer 1

Das Senden einer SAML-Antwort (die an einen Assertion Consumer Service-Endpunkt gesendet wird) über Redirect wird von der SAML-Spezifikation nicht unterstützt, da Antworten leicht zu groß werden, um sie als Abfrageparameter zu senden. Siehe Zeile 420 in dem SAML-Web-SSO-Profil spec https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf

5. Identity Provider Fragen zu Service Provider in Schritt 5 gibt die Identity-Provider eine Nachricht von der User-Agenten geliefert werden zum Dienstleister. Die HTTP-POST- oder HTTP- -Artefaktbindung kann verwendet werden, um die Nachricht über den Benutzeragenten an den Dienstanbieter zu übertragen. Die Nachricht kann einen Fehler anzeigen, oder enthält (mindestens) eine Authentifizierungszusicherung. Die HTTP Redirect -Bindung darf NICHT verwendet werden, da die Antwort normalerweise die URL-Länge überschreitet, die von den meisten Benutzeragenten zugelassen wird.

Answer 2

Sie können Artifact wechseln, obwohl SP Metadaten aktualisiert am IDP müssen den veränderten Endpunkt weiterleiten.