SSO - SP 측 SAML 응답 유효성 검증을 사용하는 업계 관행

Question

우리는 고객과 함께 SSO 솔루션을 구현하고 있습니다. 복잡한 성격과 시간 민감성 때문에 SP 인증을받은 타사 보안 파트너 회사를 고용하여 인증 후 요청을 리디렉션했습니다 사용자. 제 3 자 회사는 이제 SAML 응답을 검증하기 위해 SAML 응답을 Google 애플리케이션에 전송할 것이라고 말하고 있습니다.

내 질문에 SAML 응답이 이미 (우리를 대신하여 SP로 활동하고있는) 제 3 자 제공 업체에서 유효성이 확인 되었다면 우리 (애플리케이션 소유자)가 다시 SAML 주장을해야하는 이유는 무엇입니까?

우리는 응용 프로그램이 로그인 유효성 검사 부분을 건너 뛸 수 있도록 일부 토큰을 사용하여 제 3 자로부터 리디렉션 될 것으로 예상했습니다. 하지만 연구 사실 및 업계 관행으로 그들과 이야기하고 싶었습니다. 누구든지 도와 줄 수 있습니까? 여기에 뭔가 빠졌는지 알려주세요.

Answer 1

일반적인 연습에 SSO (일반적으로 레거시) 응용 프로그램에이기 등의 중간 SP를 사용하여 :

• 과정과
• SP는 다음을 코딩하는 SAML 인증 응답과 SP의 주장을 확인 공통 도메인의 쿠키 또는 요청 매개 변수/HTTP 헤더로 제공된 토큰
• 쿠키/토큰은 일반적으로 공유 된 비밀과 함께 대칭 암호화를 사용하여 구성됩니다. HMAC
• SP 난 당신이 무엇을 놓치고 생각하지 않는다 제공된 쿠키 또는 토큰 및 액세스 권한을 부여

을 확인하는 응용 프로그램에 사용자를 리디렉션. 아마도 당신의 공급자는 단지 물건을 혼동하고 잘못된 정보를 주었을 것입니다. SP에서 응용 프로그램에 대한 응답 (예 : 감사 목적)에 SAML 토큰 자체를 포함하는 것이 좋습니다. 그러나 중간 SP가 이미 완료 한 후에는 응용 프로그램이 SAML 메시지를 이해하거나 유효성을 검증 할 것으로 기대하지 마십시오.