Estamos utilizando el perfil SSO del navegador web SAML (SAML 2.0)
Tenemos un SP usando SAML2.0. Toda la comunicación entre IdP y SP se realiza a través de HTTP.
Si AuthnResponse de IdP se envía a través de HTTP, ¿es obligatorio que el SP valide la firma tanto en las afirmaciones cifradas como en la firma en la respuesta completa? ¿No se requiere que el IdP realice la validación de firmas si todas las afirmaciones están cifradas?
Gracias.
A menos que esté utilizando el enlace de artefactos (no es muy común), la validación de firmas siempre es necesaria. Si bien la comunicación con el SP y el IDP se realiza a través de HTTPS, el navegador web del usuario está transmitiendo las respuestas / aserciones, por lo que no puede confiar en la integridad de esos mensajes. Por lo tanto el uso de la firma.
El cifrado, por otro lado, podría ser una duplicación de lo que proporciona HTTPS, dependiendo de la estructura de cómo el IDP está generando / recibiendo esas afirmaciones. Pero tenga en cuenta que descifrar un mensaje no prueba su integridad.
Resumen: es posible que pueda eliminar el cifrado pero no puede eliminar la firma.