Тело AuthnRequest через POST

После краткого обзора кода для php-saml, поддерживаемого OneLogin, похоже, что php-saml не поддерживает HTTP-POST для запроса, отправляемого от SP к IdP при инициализации единого входа.

Это правильно или я что-то упускаю?

Если HTTP-POST не поддерживается для начального запроса:

  • Разве нам не следует беспокоиться о том, что IdP может ответить «Ошибка 413: слишком большой объект запроса»?
  • как насчет последствий для информационной безопасности, отправляющих запрос через GET?

Немного больше понимания очень ценится!


php saml-2.0 onelogin
person rock3t    schedule 27.10.2017    source источник

Ответы (1)


arrow_upward
0
arrow_downward

В SAML «привязка POST» не выполняется прямой запрос POST от SP к IDP (или наоборот). SP использует браузер клиента в качестве канала для доставки сообщения SAML IDP (то же самое происходит, когда IDP отвечает).

Подробнее читайте в этом ответе.

А вот пример единого входа, инициированного поставщиком услуг

Глядя на библиотеку php-saml, видно, что привязка POST поддерживается.

Что касается последствий для информационной безопасности. Если вы передаете конфиденциальные данные в своем запросе SAML, у вас есть несколько вещей, которые вы можете сделать для повышения безопасности:

  • Шифрование данных сообщений SAML (часть спецификаций SAML)
  • Используйте привязку артефакта (посмотрите ответ Скотта Т., чтобы понять преимущества использования привязки артефакта - https://stackoverflow.com/a/13618537/1163424)
  • И, конечно же, всегда используйте SSL
person Tomer Sela    schedule 28.10.2017