0
Нужно ли быть особенно осторожным, чтобы не пропустить SAMLRequest? Мои инстинкты не говорят мне, потому что это просто просьба ... но я хотел убедиться.Есть ли конфиденциальная информация в SAMLRequest?
A
ответ
1
Запрос SAML обычно не содержит конфиденциальной информации. Но он может включать идентификатор пользователя в элементе <saml:Subject>. В зависимости от контекста, который можно назвать конфиденциальным.
Существует также возможность включить ответное местоположение ответа, которое в слове SAML2 называется «Assertion Consumer Service» или ACS. Это всего лишь URL-адрес приложения, поэтому он не является конфиденциальным (если кто-то не кодирует конфиденциальную информацию в этом URL-адресе, но почему?). Но, убедившись, что ответ не отправлен кому-то другому, использование динамического ACS из AuthnRequest требует, чтобы AuthnRequest был защищен подписью.
1
Запрос SAML не содержит конфиденциальной или конфиденциальной информации. Он содержит только информацию о URL-адресе SP и информации о состоянии реле.
Подписанный запрос SAML дополнительно содержит значение хэшированной подписи вместе с открытым ключом для SP.