我正在管理启用了SAML2的idP,现在需要将SP导入到idP服务器。
通常,我将只从SP下载xml,并将其导入到我们的idP中。
但是,我正在阅读一个文档,该文档表示可以仅使用HTTP将元数据加载到我们的idP。 (https://docs.spring.io/spring-security-saml/docs/1.0.0.RELEASE/reference/html/configuration-metadata.html#configuration-metadata-idp-http)
这似乎更方便(不需要手动重新认证),但是我担心这是否会降低我们的安全性。
所以我的问题是,通过URL加载SP / idP元数据是否安全?如果是这样,背后的原因是什么?谢谢!
答案 0 :(得分:1)
获取方式仅次于验证方式。元数据应由发布者签名,并且您的IdP在自动下载元数据时应验证其签名。许多IdP使用UK Federation metadata网址来自动提取/更新SP元数据。元数据由联合会签名,因此IdP可以验证其完整性。