SAML2:由 URL 加载的 SP/idP 元数据安全与否?
SAML2: SP/idP metadata loaded by URL safe or not?
我正在管理启用了 SAML2 的 idP,现在我需要将 SP 导入 idP 服务器。
通常我会从SP 下载xml,然后将其导入到我们的idP 中。
但是,我正在阅读一份文档,其中说可以只使用 HTTP(s) 将元数据加载到我们的 idP。 (https://docs.spring.io/spring-security-saml/docs/1.0.0.RELEASE/reference/html/configuration-metadata.html#configuration-metadata-idp-http)
这样看起来比较方便(不需要手动重新认证),但是我担心这样会不会降低我们的安全性。
所以我的问题是,通过 URL 加载 SP/idP 元数据是否安全?如果是这样,背后有什么原因吗?谢谢!
你如何得到它是次要的,你如何验证它。元数据应由发行者和您的 IdP 签名,当它自动下载它时,应验证其上的签名。许多 IdP 使用 UK Federation metadata url 自动 ingest/update SP 元数据。元数据由联盟签名,因此 IdP 可以验证其完整性。
我正在管理启用了 SAML2 的 idP,现在我需要将 SP 导入 idP 服务器。
通常我会从SP 下载xml,然后将其导入到我们的idP 中。
但是,我正在阅读一份文档,其中说可以只使用 HTTP(s) 将元数据加载到我们的 idP。 (https://docs.spring.io/spring-security-saml/docs/1.0.0.RELEASE/reference/html/configuration-metadata.html#configuration-metadata-idp-http)
这样看起来比较方便(不需要手动重新认证),但是我担心这样会不会降低我们的安全性。
所以我的问题是,通过 URL 加载 SP/idP 元数据是否安全?如果是这样,背后有什么原因吗?谢谢!
你如何得到它是次要的,你如何验证它。元数据应由发行者和您的 IdP 签名,当它自动下载它时,应验证其上的签名。许多 IdP 使用 UK Federation metadata url 自动 ingest/update SP 元数据。元数据由联盟签名,因此 IdP 可以验证其完整性。