En un perfil del navegador web SAML2 FSSO (HTTP POST), ¿debería el IdP analizar la AuthnRequest antes de pedirle al usuario que se autentique? [cerrado]

No tengo ningún conocimiento sobre WebSeal o TFIM, pero en lo que respecta a SAML, la validación debe realizarse primero.

SAML es un medio de comunicación. Un lenguaje utilizado por los servicios web para hablar entre sí. La validación de la solicitud entrante es esencial para asegurarse de que se sigue la gramática y la sintaxis correctas.

Un AuthnRequest no es más que un mensaje XML que puede contener detalles como:

1. un identificador de solicitud
2. marca de tiempo
3. Solicitar detalles del Emisor (debe saber con quién se está comunicando)
4. La URL de redireccionamiento después de la autenticación
5. firma XML (muy importante para verificar la autenticidad y la integridad del mensaje)
6. token de reproducción

Por supuesto, lo primero que se debe hacer después de recibir un AuthnRequest es validar el esquema XML. La validación de los otros campos es importante antes de presentar la página de inicio de sesión al cliente para filtrar las solicitudes falsificadas, no estándar y repetidas.

P.S. Un punto más importante. SAML también proporciona SSO. Digamos que un usuario ya está utilizando un servicio y está autenticado con el IdP. Si desea utilizar otro servicio, se enviará una nueva Autoprueba SAML al IdP. En este caso, después de validar la solicitud, se debe generar una aserción sin presentar una página de inicio de sesión al usuario para habilitar el inicio de sesión directo.

La Authnrequest debe validarse en primer lugar las firmas de verificación, las marcas de tiempo, etc. Además, AuthnRequest puede contener información sobre cómo se debe autenticar al usuario, por lo que, lógicamente, la lectura de AuthnRequest es lo primero.