Est-il nécessaire de signer un jeton SAML? Il semble que l'élément de signature ne soit pas requis selon le schéma. Au lieu de signer le jeton SAML, nous aurions besoin de certificats clients (SSL bidirectionnel) pour vérifier que le consommateur est un consommateur de confiance. Est-ce une option viable?Signature requise pour une assertion SAML
Cela dépend de la liaison que vous utilisez et de votre cas d'utilisation. Si vous parlez du protocole de résolution d'artefact, la liaison SOAP ne nécessite pas de réponse SAML signée, par exemple. Toutefois, la liaison HTTP Post (Web SSO Profile) toujours nécessite une signature.
L'authentification mutuelle TLS est autorisée pour la liaison SOAP, mais elle n'est pas pratique du tout pour le profil SSO Web. Par conséquent, cela dépend vraiment de votre cas d'utilisation, car chaque profil/liaison a ses propres exigences.
La liaison de publication HTTP (profil SSO Web) requiert toujours une signature. Ce sont des options configurables dans la plupart des IdP. par exemple. SAP Netweaver IdP.
Cela aide beaucoup. Savez-vous si le protocole Requête d'assertion et demande nécessite une signature? –
Je ne crois pas car cela doit être fait via la liaison SAML SOAP 1.1. Cependant, je ne suis pas familier avec le profil Requête/Requête d'assertion pour être sûr à 100%. – Ian