web-dev-qa-db-ja.com

SAMLに署名して暗号化し、SSLを使用することをお勧めしますか?

秘密鍵で署名してSSL経由で送信する場合、SAMLリクエストを暗号化する必要がありますか?または、秘密鍵を使用して署名し、IDプロバイダーの公開鍵を使用して暗号化し、SSL経由で送信する方がよいでしょうか?

20
nerdn

そして、SSLパイプのもう一方の端はブラウザです。 IdPからブラウザーへのパイプとブラウザーからサービスプロバイダーへのパイプが1つずつあります。アサーションが暗号化されていない場合、アサーションはブラウザで誰でも利用できます。攻撃者は、暗号化されていない名前識別子を、将来のSAMLドキュメントおよび相互作用に対するある種の攻撃に使用する可能性があります。

3
Steven Eastman