Est-il recommandé de signer et crypter SAML ET utiliser SSL?

Une assertion SAML requête /demande n'est généralement pas contenir beaucoup de données privées, et la demande elle-même n'est généralement pas persisté pour les utiliser plus tard, donc, il n'est guère besoin de chiffrer la requête SAML lui-même. La signature, il va permettre au récepteur de vérifier que le contenu n'ont pas été modifiés en transit, et transimitting via SSL va assurer la confidentialité lors de la transmission. Cryptage de la demande dans cette situation est probablement excessif.

Une assertion SAML réponse, cependant, est d'un tout autre animal. Une réponse SAML qui contient des revendications ou des affirmations seront susceptibles de contenir des données privées. Selon la façon dont ces affirmations sont utilisés dans votre système, les assertions peuvent être passés entre les différentes parties, dont certaines qui ont les clés nécessaires clés pour décrypter le contenu (parce qu'ils ont une relation de confiance avec le fournisseur SAML) et certains qui ne le font pas. Les assertions SAML peut être stocké dans un cache ou dans une base de données, de sorte que vous n'avez vraiment pas savoir qui va piquer à travers eux à l'avenir.

Si la réponse SAML contient des revendications et des assertions qui contiennent des données privées, et le récepteur de la réponse sera maintenant sur l'assertion SAML pour une durée indéterminée ou en passant les assertions SAML par l'intermédiaire de parties que vous ne faites pas confiance, alors oui, les assertions SAML doivent être chiffrés et la réponse signé, peu importe si elle est transmise par SSL ou non. Le chiffrement est de protéger la confidentialité des données après il arrive à l'autre bout de la SSL pipe.