问题描述
当向 SP 返回 SAML Response 时,大多数 IdP(如 AzureAD、Okta、Onelogin、GSuite)都有以下关于签名的选项:
- 签署响应
- 签署断言
- 签署响应和断言
并且无需任何配置,对于大多数 IdP,签名的默认值是仅对 Assertion 进行签名。
以下是来自 AzureAD 的 SAML 响应示例(默认签名选项是签名断言)。断言受完整性保护,无法进行篡改。但是,除 Assertion、Destination InResponseto Issuer 之外的字段都可以在不知情的情况下被篡改或添加/删除!
所以我的问题是:
- 为什么有 3 种签名? (响应、断言、响应和断言)
- 在哪种用例中,我们应该选择签署整个响应、签署断言还是同时签署响应和断言?
- 仅通过签署 Assertion(大多数 IdP 的默认设置),我们是否会暴露任何漏洞?
解决方法
由于断言是 SAML 响应的一部分,因此仅对 SAML 响应进行签名就足够了。通过这种方式,您可以保护/签署整个 SAML 身份验证响应。
通过签署断言,您只需签署响应中的属性声明。
仅签署断言,我认为我们不会暴露任何漏洞,因为重要信息包含在 SAML 响应中的断言中。
大多数 IDP 都有配置选项来根据 SP 中的要求处理签名。此外,如果您正在构建自己的 IDP,您可以实现它以支持
,遵循 SAML 2.0 规范的 IdP 的唯一要求是 对断言进行数字签名(请参阅 http://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf 第 4.1.3.5 节)。这足以判断来自 IdP 的 SSO 操作是否应该被与其联合的 SP 信任。
签署外部响应是可选的。有一些安全 它的好处,例如防止消息插入或修改 (参见第 6.1.3/6.1.5 节 http://docs.oasis-open.org/security/saml/v2.0/saml-sec-consider-2.0-os.pdf) - 但实际上它经常被省略,而不是依赖 SSL/TLS。