In genere, l'intento del legame artefatto è ridurre il flusso dei messaggi SAML attraverso il browser stesso. Ciò potrebbe essere dovuto a restrizioni del browser (browser che hanno limiti sulla stringa di query/dimensione del payload POST) o nessun supporto per JavaScript (per moduli inviati automaticamente), o anche per migliorare il modello di sicurezza di come vengono trasportati i messaggi SAML. Utilizzando artefatti, i dati sensibili trasportati attraverso l'Asserzione/Attributo Dichiarazione SAML non vengono passati attraverso il browser, in modo che possa essere nascosto all'utente finale o agli autori di attacchi tra il sito e l'utente finale. Questi dati riservati verranno risolti direttamente tra siti tramite una ricerca di canali secondari.
sezione 3.6.2 del SAML 2.0 Bindings specs riassume meglio: legame
il manufatto HTTP è inteso per i casi in cui il richiedente SAML e risponditore necessitano di comunicare usando un agente utente HTTP come intermediario, ma le limitazioni dell'intermediario precludono o scoraggiare la trasmissione di un intero messaggio (o scambio di messaggi) attraverso di esso. Ciò potrebbe essere dovuto a motivi tecnici oa causa di una riluttanza dello di esporre il contenuto del messaggio all'intermediario (e se l'uso della crittografia non è pratico) . Si noti che a causa della necessità di risolvere successivamente l'artefatto utilizzando un altro binding sincrono , ad esempio SOAP, deve esistere un percorso di comunicazione diretto tra il mittente del messaggio SAML e il destinatario nella direzione opposta della trasmissione del manufatto (il destinatario del messaggio e artefatto devono essere in grado di inviare una richiesta all'emittente artefatto ). L'emittente artefatto deve anche mantenere lo stato mentre è in sospeso l'artefatto , con implicazioni per gli ambienti con bilanciamento del carico.
fonte
2012-11-29 03:52:37