方便Browser/POST和Browser/Artifact概要文件的应用

Question

我提议使用SAML1.1作为在客户环境中证明Web SSO的技术，他们问我一些有趣的问题：

哪个场景浏览器/POST配置文件合适，哪个场景浏览器/伪配置文件合适？

事实上，SAML 1.1规范并没有讨论两个浏览器配置文件的最佳或最合适的场景。

也许每个人的安全威胁都可以用来挑选最好的。在我看来，到目前为止，这两者都可以同样适用于任何情况。

*注:该解决方案使用WebLogicServer10.0及其对SAML1.1的支持。

Answer 1

在我看来，这两种配置文件都提供了类似的安全级别。使用POST配置文件，用户必须显式地启动POST。这可能有助于阻止类似CSRF的攻击，但我不知道有任何实际的攻击。Artifact使用GET方法，可以为用户提供更无缝的体验。

对我来说，工件配置文件的缺点是打开后台通道的复杂性。我的应用服务器专门使用一个线程来处理用户请求，如果该线程被阻塞(等待后通道IO完成)很长时间，应用服务器开始执行非常糟糕的操作。因此，必须非常小心地执行后信道通信，以确保在规定的时间内超时。

即使这样，如果IdP出现故障，对我的用户来说，错误并不明显是在IdP上。有了帖子简介，如果IdP行为不端，用户就不太可能责怪我。

Answer 2

在安全性方面，主要的区别是，使用POST配置文件，SAML响应(包含断言)通过最终用户的浏览器传递，因此如果有什么您不希望最终用户看到的东西，至少必须进行签名，并且可能是加密的。

使用工件配置文件，您可以使用SSL来保护后端通道，并发送一个未签名、未加密的断言，因为它直接从IdP传递给SP。不过，您可能仍然希望签署不可否认的断言。

不过，正如埃里克森所提到的，从SP到IdP的出站“后通道”连接也有其自身的挑战。我看到的大多数SAML部署都是出于这个原因使用POST的。

顺便说一句--你为什么要使用SAML1.1而不是2.0呢？