Раздел 8.3.7 от основной спецификации SAML утверждает, что формат persistent
NameID используется для защиты частной жизни:Почему стойкие идентификаторы SAML используются как «механизм защиты конфиденциальности»?
Стойкие идентификаторы предназначены в качестве механизма защиты частной жизни; как таковые, они НЕ ДОЛЖНЫ использоваться в открытом тексте с поставщиками, отличными от поставщиков, которые установили общий идентификатор . Кроме того, они НЕ ДОЛЖНЫ появляться в файлах журналов или подобных местах без соответствующих средств контроля и защиты.
Я не уверен, что я понимаю намерение позади использования постоянных идентификаторов в качестве механизма защиты частной жизни - особенно в свете того факта, что большинство других типов NameID (электронная почта, SN, квалифицированное имя, снаряженный основной и т. д.) будут одинаковыми для всех SP.
Каким образом уникальный идентификатор NameID per-SP является «механизмом защиты конфиденциальности»? В частности, какие векторы атаки были бы смягчены с помощью поля NameID persistent
над другим типом (в частности, когда существуют защиты, такие как правильные ограничения аудитории и подписи)?
ok ... Эти идентификаторы c использовать за пределами потоков федерации (на пример, который вы мне дали), и я не спрашивал, как работает поток. Вместо этого я обращался конкретно к проблемам безопасности и атакам. Похоже, ваш ответ гласит, что единственной целью механизма защиты конфиденциальности, о котором говорит спецификация, является конфиденциальность. Можете ли вы привести некоторые аргументы/примеры того, почему это важно? Например, существуют ли какие-либо векторы атаки при использовании общего идентификатора через SP? – JoshC13
Я ответил, используя поток, потому что я надеялся, что это было достаточно ясно, чтобы понять роль его использования, чтобы защитить * privacy *. Как это помогает? Например, вы доверяете StackOverflow и предоставляете ему свое имя, которое является Джошем. Затем вы хотите использовать StackOverflow в качестве IdP для входа в другой SP. Используя постоянный идентификатор, вы можете гарантировать несколько вещей: – Thuan
1. Токен, возвращающийся к SP, не содержит вашего реального идентификатора. Если токен просочился, злоумышленник не может сказать, что он от вас. 2. SP не знает вашу настоящую личность. Это уменьшает вероятность того, что вы можете злоупотреблять своей идентичностью SO. 3. Если сайт SP скомпрометирован, это затрудняет для злоумышленника возможность узнать, какова ваша идентификация SO. Это все, что я могу добавить на основе собственного опыта по этому вопросу :) – Thuan