SSO - SP侧SAML响应验证的行业实践

Question

我们正在用我们的customers.Due实现单点登录解决方案，因为它的复杂性和时间敏感性，我们雇用了一个第三方安全合作伙伴公司，它可以充当SP并在对用户进行身份验证后重定向请求。第三方公司现在告诉我，他们将向我们的应用程序发送SAML响应，以进一步验证。

我的问题是，考虑到SAML响应已经在我们的第三方提供者(谁代表我们充当SP )上验证了，为什么我们(应用程序所有者)必须再次执行SAML断言？

我原以为它将是来自第三方的重定向，带有一些令牌来进行验证，这样我们的应用程序就可以跳过登录验证部分。但我想和他们谈谈研究事实和行业实践。有人能帮忙吗？如果我漏掉了什么，请告诉我。

Answer 1

将这种中间SP用于SSO (通常是遗留的)应用程序时，通常的做法是：

• 在SP处处理和验证SAML身份验证响应和断言
• SP然后对公共域上的cookie或作为请求参数/HTTP报头提供的令牌进行编码。
• cookie/令牌通常使用具有共享秘密的对称加密技术构造，例如HMAC
• SP将用户重定向到验证提供的cookie或令牌并授予访问权限的应用程序。

我不认为你错过了什么。也许你的提供者只是把事情搞糊涂了，给了你错误的信息。将SAML令牌本身包含在从SP到应用程序的响应中是有意义的(例如，为了审计目的)，但期望应用程序在中介SP已经完成SAML消息之后理解或验证SAML消息是没有意义的。