基于SSL的SAML - SAML令牌

Question

由于SP和IDP之间的通信通过客户端的web浏览器(SAML HTTP POST配置文件)进行，SSL是否在客户端浏览器上解密，然后再次解密发送到SP或IDP？

如果是，SAML令牌在这一点上很容易被窃取？我们能做些什么来防止它呢？

如何防止令牌重放？(在设置SAML之前和之后配置的基础上)

SAML令牌是否仅由SP使用一次？我们可以在IDP发送令牌后立即使其过期吗？

Answer 1

是的，SAML内容是在客户端浏览器中解密的，因此，客户端浏览器可以在将其发送到SP之前读取、复制或修改SAML内容。这就是为什么内容总是用IDPs私钥签名的原因，这样SP就可以检查它是否被修改了。如果内容敏感(甚至对实际用户也是如此)，则可以使用SPs公钥加密SAML内容中的断言。

SAML SP应防止重放令牌。

对于身份验证令牌，由Idp颁发的令牌(由有效的NotOnOrAfter属性设置)的正常生存期为2分钟。

Answer 2

没有SAML令牌这样的东西，而是在响应中有一个SAML断言。是的，当它被前向信道发送时，用户可以检查该消息。

为了避免用户能够检查断言，断言通常包括关于用户是谁的信息(和一些属性)，而不是一个允许用户执行任何操作的令牌(就像您习惯于使用OAuth等一样)，可以在消息级别对断言进行加密。是否加密断言由IdP决定，但它需要有关so证书的足够信息才能做到这一点。它还必须得到SP的支持，才能解密消息才有意义。

Answer 3

许多SAML断言在默认情况下还没有加密(ie...WebEx SAML)。请务必使用您的IdP检查此设置，并验证SP是否可以接受加密的assertion...not all。

您可以通过使用Fiddler查看断言本身来检查您的消息是否被加密。您能看到正在传递的信息吗？如果是这样，您可能需要检查您的应用程序设置。

如果你在谷歌上搜索Fiddler或SSO tracer for Firefox，你可以看到获取断言并自己检查的步骤。如果文本模式下的请求可以看到主题信息之类的内容(例如NameID)，那么它就没有被加密。

也就是说，

<Subject>
    <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified">JohnDoe</NameID>
    <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
        <SubjectConfirmationData NotOnOrAfter="2016-05-01T16:51:59.525Z" Recipient="https://null.webex.com/dispatcher/SAML2AuthService?siteurl=null" />
    </SubjectConfirmation>
</Subject>