Cifrado de atributo de usuario Shibboleth

5

¿Cómo garantiza Shibboleth que terceros no tengan acceso a los atributos de usuario contenidos en la aserción SAML 2.0 intercambiada entre IdP y SP?

¿Es correcto que todos los atributos de los usuarios estén cifrados cuando se transfieran de IdP a SP? ¿Están los atributos del usuario cifrados con una clave simétrica que también se incluye en la aserción pero cifrada con la clave pública del SP?

    
pregunta niklr 21.08.2012 - 16:19
fuente

2 respuestas

2

Lo mejor que pude encontrar fue aquí:

enlace

Parece que la seguridad es proporcionada por:

  • El IdP limita lo que le da al SP según la forma en que se transmitirá

  • Sí, para las aserciones de SAML 2.0, el IdP encripta su respuesta al SP

La forma en que está escrito, parece que el cifrado se proporciona específicamente en las aserciones de SAML 2.0, no en todo. Y estoy leyendo específicamente la documentación de Shibboleth 2.0, ya que parece ser lo que soporta SAML 2.0.

    
respondido por el bethlakshmi 06.09.2012 - 18:22
fuente
1

No he usado Shibboleth por un tiempo, así que no estoy seguro de que siempre sea así, pero aquí es cómo he usado Shibboleth en el pasado.

El SP realiza una solicitud SAML (firmada) al IdP, que se propaga entre los dos por el navegador del usuario. El IdP da una respuesta SAML firmada, no necesariamente encriptada, con un identificador. Tras la recepción, el SP realiza una solicitud de atributo directamente al IdP.

Esta conexión de back-end generalmente se realiza a través de HTTPS y, por lo tanto, la conexión está encriptada. No funciona en absoluto a través del navegador del usuario, pero el SP se convierte en un cliente directo para el IdP. El uso de cifrado a nivel de mensaje sobre SSL / TLS aquí no agregaría mucho, si el SP se autentica correctamente, por supuesto, esto se puede hacer usando la autenticación de certificado de cliente (configurada en el SP usando CredentialResolver IIRC).

Esto se representa en los pasos 6 y 7 en este diagrama (Federación del Reino Unido).

Puede haber pequeñas diferencias en la configuración del Servicio de Atributos (generalmente se ejecuta en el IdP y se consulta por el SP) entre Shibboleth 1.xy Shibboleth 2.x . Estos servicios de atributos se configuran junto con las otras configuraciones de IdP como parte de los metadatos de federación dados a los SP.

Que yo sepa, este mecanismo es una de las especificidades de Shibboleth, en comparación con otros sistemas basados en SAML.

    
respondido por el Bruno 12.09.2012 - 19:11
fuente

Lea otras preguntas en las etiquetas