SAML2: метаданные SP / idP, загруженные по URL, безопасны или нет?

Question

Я управляю idP с поддержкой SAML2, и теперь мне нужно импортировать SP на сервер idP .

Обычно я просто скачиваю xml с SP и импортирую егов наш IDP.

Однако я читал документацию, в которой говорилось, что можно просто использовать HTTP (ы) для загрузки метаданных в наш idP.(https://docs.spring.io/spring-security-saml/docs/1.0.0.RELEASE/reference/html/configuration-metadata.html#configuration-metadata-idp-http)

Что кажется более удобным (нет необходимости повторной сертификации вручную), но я задаюсь вопросом, не снизит ли это нашу безопасность.

Поэтому мой вопрос: безопасно ли загружать метаданные SP / idP по URL ? Если да, то какая-то причина в этом? Спасибо!

Answer 1

то, как вы его получили, является вторичным по отношению к тому, как вы его проверяете Метаданные должны быть подписаны эмитентом, и ваш IdP, когда он автоматически загружает их, должен проверить подпись на них. Многие IdP используют URL-адрес UK Federation для автоматической загрузки / обновления метаданных SP. Метаданные подписаны федерацией, чтобы IdP могли проверить их целостность.