Провайдеры идентификации игнорируют спецификацию SAML или не требуется, чтобы запрос на выход из системы и ответы были подписаны?

Question

В спецификации SAML говорится следующее: «Сообщение ДОЛЖНО быть подписано, если используется привязка HTTP POST или Redirect». и то же самое для LogoutResponse. Но когда я ищу настройки в разных провайдерах идентификации (onelogin, auth0, duo, Azure AD), я вижу, что им не требуется сертификат от провайдеров услуг для единого выхода из системы (я нахожу только одно исключение, и это нормально). Вероятно, я не понимаю концепцию или что-то упускаю и прошу вас в сообществе stackowerflow помочь мне в этой ситуации.

Answer 1

Ваше понимание верно. Спецификации SAML гласят, что сообщения о выходе из SAML должны быть подписаны. Однако не все поставщики SAML поддерживают выход из SAML, и не все из них поддерживают подпись сообщений о выходе из SAML. Если сообщение о выходе не подписано, это означает, что третье лицо может вызвать выход из системы. Это было бы неприятно, но я не уверен, что это угроза безопасности. Если вам нужна максимальная совместимость, я рекомендую настраивать подписывание сообщений о выходе из SAML, чтобы вы могли варьировать поведение в зависимости от поставщика-партнера.