¿Cómo realmente proporciona SAML la seguridad?

Question

Después de leer algunos artículos y referencias, descubrí que prácticamente ilustran qué es SAML, qué componentes contiene y cómo funciona. Algunos buenos enlaces de la siguiente manera:

• Good documentation about Shibboleth and SAML?
• What's the difference between ADFS, WIF, WS Federation, SAML, and STS?
• http://en.wikipedia.org/wiki/SAML
• http://saml.xml.org/wiki/saml-introduction
• https://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf ...

Yo, sin embargo, todavía se siente confundido por eso: ¿por qué dicen que es seguro? En mi opinión, en resumen, SAML es solo una representación XML "formateada". Es un lenguaje o mecanismo para el intercambio de las figuras en la información de alta manera. No puedo encontrar que sea seguro, solo proporciona una negociación o una forma estándar para intercambiar información solamente. No sé si mi comprensión es correcta o no. Por qué SAML contiene "seguridad" todavía me confunde.

Answer 1

Creo que la pieza que le falta después de toda esa lectura es cómo SAML requiere el uso de las especificaciones XML DSIG y XML ENC para garantizar la integridad y confidencialidad del mensaje. Si bien los formatos de mensajes estandarizados e identificadores de nombres comunes hacen que compartir información de identidad sea mucho más fácil entre las partes, son estos dos componentes de seguridad (cuando se implementan correctamente) los que permiten que SAML sea adoptado por empresas, gobiernos y proveedores de servicios en la nube para intercambiar información de identidad.

HTH - Ian

Answer 2

Sí, SAML es un lenguaje basado en XML para el intercambio de información como lo hace el nombre de Lenguaje de marcado de aserción de seguridad. El motivo por SAML es un lenguaje de marcado de seguridad porque este lenguaje está específicamente definido para intercambiar seguridad e información relacionada con la identidad, como información de autorización, información de autenticación, etc. Debido a esta capacidad del lenguaje, hay muchos protocolos y perfiles de seguridad definidos en SAML, como Perfil de SSO, perfil del servicio web, etc.

Answer 3

Para que sea más seguro que podemos firmar digitalmente la respuesta con nuestra clave privada y compartir el certificado con el Servicio provider.In esta manera se puede proporcionar la seguridad contra la falsificación IdP y "Man in the ataque "medio" (MITM).

Aparte de eso, siempre se recomienda que esta transacción sea HTTP sobre SSL.

Y por último pero no menos importante también puede usar seudónimos persistentes/transitorios para intercambiar información entre IdP y SP.