Autenticación SAML automatizada sin interacción del usuario

3

Debo integrar mi sitio web con la autenticación SAML, de modo que cualquier inicio de sesión realizado en mi sitio web, las credenciales serán validadas por un idp específico (conocido de antemano)

Incluso después de leer muchos artículos al respecto, Incl. La documentación técnica oficial, tengo muchas preguntas abiertas:

  1. ¿Se puede automatizar? es decir, mi sitio web es el SP, y sé de qué IDP necesito autenticar. ¿Puedo dejar mi sitio tal como está y usar las credenciales ya ingresadas y autenticarlas frente al IDP? ¿De alguna manera hago la autenticación en el backend, en lugar de redirigir al usuario? ¿Se parece de alguna manera a ECP (Proxy mejorado)? ¿Es un mecanismo diferente entre shibboleth, Okta o todos ellos siguen el mismo protocolo y comportamiento?

  2. ¿Son iguales todos los servidores compatibles con IDP? ¿O puede uno decidir el método de autenticación que le gusta usar?

  3. Suponiendo que el número 1 es posible. ¿Cómo puedo autenticar que la respuesta que recibí es de quien dice que es (evitar MITM)?
pregunta buddy123 06.03.2016 - 13:53
fuente

1 respuesta

2

Algunas respuestas parciales:

1.1. Cuando sepa (¿de qué tipo de información? ¿Sólo acepta un IDP para todos los usuarios?) Qué IDP utilizar, utilícelo. Puede omitir la indirección a través de DiskoJuice u otro seleccionador de IDP.

1.2. Hacer la autenticación usted mismo desafía el propósito de usar SAML. En su lugar, puede realizar la autenticación básica a través de https.

  1. No necesariamente. Cada IDP puede elegir cualquier sorftware que quiera usar. Solo el protocolo es fijo.

  2. Con SAML solo sabes que el usuario que intenta iniciar sesión conoce sus credenciales (nombre de usuario y contraseña). Use conexiones seguras (solo https, no permita que http) para evitar la pérdida de las credenciales y los ataques MITM.

EDITAR: Cuando realmente desee comprender SAML, consulte la tesis doctoral de Thomas Gross aquí: enlace

Contiene un análisis en profundidad de SAML con pruebas rigurosas (y contra-ejemplos para SAML 1.0) de las características de seguridad.

    
respondido por el jknappen 06.03.2016 - 14:07
fuente

Lea otras preguntas en las etiquetas