Cifrado de atributo de usuario Shibboleth

Lo mejor que pude encontrar fue aquí:

enlace

Parece que la seguridad es proporcionada por:

• El IdP limita lo que le da al SP según la forma en que se transmitirá

• Sí, para las aserciones de SAML 2.0, el IdP encripta su respuesta al SP

La forma en que está escrito, parece que el cifrado se proporciona específicamente en las aserciones de SAML 2.0, no en todo. Y estoy leyendo específicamente la documentación de Shibboleth 2.0, ya que parece ser lo que soporta SAML 2.0.

No he usado Shibboleth por un tiempo, así que no estoy seguro de que siempre sea así, pero aquí es cómo he usado Shibboleth en el pasado.

El SP realiza una solicitud SAML (firmada) al IdP, que se propaga entre los dos por el navegador del usuario. El IdP da una respuesta SAML firmada, no necesariamente encriptada, con un identificador. Tras la recepción, el SP realiza una solicitud de atributo directamente al IdP.

Esta conexión de back-end generalmente se realiza a través de HTTPS y, por lo tanto, la conexión está encriptada. No funciona en absoluto a través del navegador del usuario, pero el SP se convierte en un cliente directo para el IdP. El uso de cifrado a nivel de mensaje sobre SSL / TLS aquí no agregaría mucho, si el SP se autentica correctamente, por supuesto, esto se puede hacer usando la autenticación de certificado de cliente (configurada en el SP usando CredentialResolver IIRC).

Esto se representa en los pasos 6 y 7 en este diagrama (Federación del Reino Unido).

Puede haber pequeñas diferencias en la configuración del Servicio de Atributos (generalmente se ejecuta en el IdP y se consulta por el SP) entre Shibboleth 1.xy Shibboleth 2.x . Estos servicios de atributos se configuran junto con las otras configuraciones de IdP como parte de los metadatos de federación dados a los SP.

Que yo sepa, este mecanismo es una de las especificidades de Shibboleth, en comparación con otros sistemas basados en SAML.