Как SAML действительно обеспечивает безопасность?

После прочтения некоторых статей и ссылок я обнаружил, что они практически иллюстрируют, что такое SAML, какие компоненты он содержит, как он работает. Некоторые хорошие ссылки:

Я, однако, все еще чувствую смущение: зачем говорить, что это безопасно? На мой взгляд, вкратце, SAML - это просто "сформированное" XML-представление. Это язык или механизм для обмена цифрами на высокоуровневой информации. Я не могу найти, что он безопасный, он просто обеспечивает переговоры или стандартный способ обмена информацией только. Я не знаю, правильное ли мое понимание или нет. Почему SAML содержит "безопасность", все еще путают меня.

ОТВЕТЫ

Ответ 1

Я думаю, что фрагмент, который вам не хватает после всего этого чтения, заключается в том, как SAML требует использования спецификаций XML DSIG и XML ENC для обеспечения целостности и конфиденциальности сообщений. В то время как стандартизированные форматы сообщений и общие идентификаторы имен значительно облегчают обмен идентификационной информацией между сторонами, именно эти два компонента безопасности (при их правильной реализации) позволяют SAML уверенно принимать Предприятия, правительства и поставщики облачных сервисов для обмена информацией о личности.

HTH - Ian

Ответ 2

Чтобы обеспечить безопасность, мы можем подписывать ответ с помощью нашего частного ключа и делиться сертификатом с поставщиком услуг. Таким образом, он может обеспечить защиту от поддельной атаки IdP и "Человек в середине" (MITM).

Кроме того, всегда рекомендуется, чтобы эта транзакция была HTTP через SSL.

И последнее, но не менее важное, вы также можете использовать постоянные/преходящие псевдонимы для обмена информацией между IdP и SP.

Ответ 3

Да, SAML - это язык, основанный на XML, для обмена информацией, поскольку это означает, что имя языка разметки безопасности. Почему SAML называется языком разметки безопасности, потому что этот язык определен специально для обмена информацией о безопасности и идентификации, такой как информация авторизации, информация аутентификации и т.д. Благодаря этой возможности языка существует множество протоколов безопасности и профилей, определенных вокруг SAML, таких как Профиль SSO, профиль веб-сервиса и т.д.