Una empresa me preguntó si es posible utilizar el protocolo SAML sin ningún certificado. El estándar no requiere que un ticket SAML esté firmado o encriptado, por lo que la respuesta sería ¿sí? ¿Es esta una respuesta correcta o me he perdido algo?
No firmar un SAML-ticket sería una muy mala idea porque serías un blanco fácil para "Man in the middle-attack". ¿Estoy en lo correcto?
Hay un análisis en profundidad de la seguridad de SAML en la tesis doctoral de Thomas Gross (Bochum):
Su análisis condujo a la revisión 2.0 del estándar SAML. Es muy claro que ciertas comunicaciones deben estar cifradas para mantener el protocolo seguro y que usted necesita saber que se comunica con el servidor correcto.
Si bien existen otras soluciones posibles además de los certificados de servidor, los certificados son la forma estándar de hacerlo. Tenga en cuenta que solo los servidores necesitan tener certificados, no es necesario que los usuarios / navegadores tengan certificados.
Lea otras preguntas en las etiquetas man-in-the-middle sso saml