SAMLは実際にどのようにセキュリティを提供していますか？

Question

いくつかの記事と参考文献を読んだところ、SAMLの内容、その中に含まれるコンポーネント、動作方法を実際に示していることがわかりました。

• Good documentation about Shibboleth and SAML?
• What's the difference between ADFS, WIF, WS Federation, SAML, and STS?
• http://en.wikipedia.org/wiki/SAML
• http://saml.xml.org/wiki/saml-introduction
• https://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf ...

を、私は、しかし、まだそれについて混乱を感じる：なぜ、次のようにいくつかの良いリンクそれは安全だと言いますか？私の見解では、要するにSAMLは単なる「形式化された」XML表現です。これは、情報を高度に交換するための言語または仕組みです。私はそれが安全であることが分かりません、ちょうど情報を交換するための交渉または標準的な方法を提供しています。私の理解が正しいかどうかはわかりません。なぜSAMLに "セキュリティ"が含まれているのかが私を混乱させます。

Answer 1

メッセージの完全性と機密性を保証するためにSAMLがXML DSIGとXML ENC仕様をどのように使用する必要があるのか​​が分かります。標準化されたメッセージフォーマットと共通名識別子は、パーティ間で識別情報を共有するのをはるかに容易にしますが、企業、政府、クラウドサービスプロバイダがSAMLを自信を持って採用することができます。

HTH - イアン

Answer 2

はい、SAMLは情報交換のためのXMLベースの言語で、セキュリティアサーションマークアップ言語という名前の意味です。 SAMLがセキュリティマークアップ言語と呼ばれるのは、この言語が、認証情報や認証情報などのセキュリティとID関連情報を交換するために特別に定義されているからです。この言語機能のために、SAMLの周りには、 SSOプロファイル、Webサービスプロファイルなど

Answer 3

は、それは我々がdigitalyたちの秘密鍵で応答に署名し、サービスprovider.Inでそれがで偽のIdPに対す​​るセキュリティと」人間を提供することができますこの方法で証明書を共有することができます確保するようにするにはミドル "攻撃（MITM）。

これ以外にも、このトランザクションをSSL経由のHTTPにすることをお勧めします。

最後に、永続的/一時的な仮名を使用して、IdPとSPの間で情報を交換することもできます。