身份提供者 (IdP) 通常会提供设置 SAML 时使用的元数据文件。此文件需要输入到服务提供商 (SP)。我们是否需要保持此元数据文件的私密性和安全性?还是其中的信息都可以安全公开?在设置服务提供商时,我很好奇我们必须对这些信息设置什么级别的保护。
SAML 2.0 IdP 元数据安全
信息安全
sso
山姆
2021-08-21 22:56:36
1个回答
元数据文件中没有任何敏感信息。它提供了 SP 可以用来信任来自 [IdP] 的断言的信息(因此没有其他人可以声称是 [IdP])。它包含的典型信息是:SSO URL、颁发者名称和包含 PKI“公共”密钥的证书。无论如何,所有这些都是公开的(因为任何用户都可以在 SAML 断言中看到它们,如果他们在浏览器中捕获它)。有了这些信息,坏人真的什么都做不了。
源链接死了。