Зашифрованный токен SAML
Я использую набор инструментов php-saml https://github.com/onelogin/php-saml для реализации SSO в веб-приложении. Аутентификация сама по себе работает, но когда я проверяю перехватывающий прокси-сервер https://portswigger.net/burp/communitydownload, токен saml отображается в чистом виде (как xml, с именем пользователя вместе со всей информацией, переданной для аутентификации). В соединителе и настройке https://github.com/onelogin/php-saml/blob/master/settings_example.php я установил сертификат (в idp/x509cert)
Я не уверен, имеет ли значение наличие certFingerprint, я пробовал с и без, и токен saml в обоих случаях ясен.
Можно ли зашифровать этот ответ saml? он все еще подписан, поэтому его нельзя изменить, но ясность этих данных для меня все еще проблема.
Ответы 1
Вы действительно можете зашифровать ответ SAML, и он должен быть настроен вашим администратором Onelogin для вашего приложения. Шифрование ответа (или утверждения) смягчается с помощью TLS, поскольку вы уже зашифрованы на транспортном уровне, а приложения наиболее, которые я вижу, не шифруют ответ или утверждение, но при необходимости это доступно в Onelogin.
Привет Игорь. Я предполагаю, что у вас есть доступ к арендатору Onelogin для настройки приложения? Если да, добавьте приложение. Найдите «Тест SAML». Появится список приложений, которые позволяют настраивать SAML-приложение. Выберите тот, который говорит «Дополнительно». В нижней части вкладки «Конфигурация» есть возможность зашифровать ответ и включить сертификат X.509, который включает открытый ключ для приложения, которое делает запрос SAML и ожидает зашифрованный ответ.
Спасибо. действительно, мне пришлось изменить разъемы на «расширенный» тип, чтобы иметь доступную опцию
Привет @niall_atlasidentity. Спасибо за ваш ответ. Можно поконкретнее о конфигурации? я уже установил сертификат X.509, алгоритм подписи SAML и отпечаток пальца sha. Я не знаю, где я мог указать это.