我想知道与向 IdP 或 SP 提供元数据文件相比,在公共 URL 上为 SAML 配置提供元数据是否存在任何重大安全问题。元数据包括用于加密的公钥。
如果存在任何安全问题,它们是什么?
不,将元数据作为公共资源提供不存在安全问题。
元数据中通常会提供公钥,用于验证签名(通过公钥,服务提供者(消费者)可以验证身份提供者发送的 SAML 响应没有被篡改)。
对于加密(SAML 中可选),服务提供商需要将其公钥发送给身份提供商。使用公钥,身份提供商将能够加密响应,并且只有服务提供商(使用私钥)才能解密它。
这取决于您组织的安全要求。
如果您的组织不想保护公钥材料,那么您可以发布、允许对 SAML 元数据进行无限制且未经身份验证的访问。
如果您的组织想要保护公钥材料,请保护 SAML 元数据免遭无限制且未经身份验证的访问。
根据公钥密码学,公钥应在各方之间自由共享,但在这种情况下,您组织的安全团队必须决定公钥材料是否应仅提供给预期方或向所有人公开。
对于那些问自己“我真的应该根据这篇文章做出安全决定吗?”的人我的回答是,Microsoft 通过公共 URL 轻松提供 SAML 元数据。请参阅此参考:https://learn.microsoft.com/en-us/entra/identity-platform/federation-metadata。如果微软认为这些数据敏感,他们就不会这样做。因此,可以通过公共 URL(重新)发布。