我想问一下我是否用idp私钥签署了saml响应,用sp公钥加密了saml断言。加密前我需要签署saml断言吗?这是矫枉过正吗?你从任何官方文档中知道任何标准吗?谢谢。
>
使用收件人的公钥加密保证只有收件人可以读取内容。任何人都可以使用收件人的公钥加密数据。
使用发送者的私钥签名可以保证只有真正的发送者才能创建数据。任何人都可以验证数据确实来自发送者。
SAML对于SP来说,最重要的是能够验证断言确实来自IDP,而不是来自某个虚假来源。这只能通过使用IDP的密钥签名来完成。这就是为什么在SAML标准中签名是强制性的。加密可以用来确保除了SP之外没有人可以读取断言的内容。这在标准中是可选的。
有关详细信息,请参阅SAML2核心规范中的第5章。
最好的方法是对整个SAML响应进行加密,然后签名,而不仅仅是断言。这种方法被认为是最安全的,并且将被SSO/联邦产品更广泛地接受。
签署整个SAML响应的原因是一个潜在的协议漏洞,其中无法保证SAML响应的来源(如果响应本身未签名)。
