Signature des réponses SAML
La signature des réponses SAML est toujours un problème, il n'existe actuellement pas de règles strictes sur les types de signatures attendus en fonction du contexte.
Le format d'échange des métadonnées SAML permet d'indiquer le besoin ou le support des signatures SAML pour les assertions, mais pas pour les réponses elles-mêmes.
Nous n'entrerons pas dans les détails des implications de ces choix ni de leur utilité. Ce qui est important de savoir cependant c'est comment Bravas fonctionne pour que vous puissiez configurer vos fournisseurs de services en fonction.
Signature pour les éléments du catalogue sans métadonnées
Concernant les éléments de notre catalogue ne reposant pas sur des métadonnées, nous adoptons un fonctionnement simple où seules les réponses SAML sont signées par défaut et nous changeons ce réglage si nécessaire lors de nos tests d'intégrations avant de publier un assistant de configuration.
Si vous êtes dans une situation où un fournisseur de services supporté dans notre catalogue et nécessitant des actions de configuration manuelle vous indique de ne modifier les réglages de signature, ouvrez-nous un ticket de support. Cela indique qu'ils ont changé leur fonctionnement et que nous ne l'avons pas encore identifié.
Signature pour les éléments du catalogue avec métadonnées
Pour les applications SAML personnalisées ainsi que toutes les applications du catalogue reposant sur des métadonnées sous forme d'URL ou en XML, notre comportement dépend de la clef de configuration WantAssertionsSigned.
| WantAssertionsSigned | SAML Response | SAML Assertion |
|---|---|---|
| not set | Signed | Signed |
| true | Not signed | Signed |
| false | Signed | Not Signed |
Le fonctionnement actuel est imparfait et nous tâcherons de vous laisser la possibilité de configurer vos applications personnalisées dans le futur.
Cette situation est le résultat d'un défaut de spécification dans l'usage et l'annonce des différents types de signature des échanges SAML.