Binding

De SAML binding bepaalt op welke manier de SAML XML-bestanden worden uitgewisseld

In de SAML standaard van Oasis worden er verschillende mogelijke “bindings” gedefinieerd. Volgende zijn relevant is het geval van authenticaties voor web-toepassingen:

  • HTTP POST Binding: de SAML protocol berichten worden doorgestuurd via een POST, dus doorheen de base64-ge├źncodeerde inhoud van een HTML formulier.
  • HTTP Redirect Binding: de SAML protocol berichten worden doorgestuurd via URL parameters (dus via een GET). Bij zeer grote SAML responses kan dit in de praktijk in uitzonderlijke gevallen onvoorspelbaar gedrag opleveren (hoewel de maximaal toelaatbare URL-lengte theoretisch onbeperkt is).
  • HTTP Artifact Binding: het SAML request en de SAML response worden niet via de browser doorgestuurd, maar er wordt enkel een referentie (aka “artifact”) uitgewisseld. De feitelijke request en response moeten de SAML Service Provider en de SAML Identity Provider dan rechtstreeks uitwisselen op basis van deze artifacts.

De ACM IDP ondersteunt zowel de HTTP POST Binding als de HTTP Redirect Binding.

De HTTP Artifact Binding wordt door de ACM IDP niet ondersteund: in de praktijk wordt deze ook veel minder frequent gebruikt omwille van de nadelen die ermee gepaard gaan: enerzijds ligt de complexiteit voor een setup behoorlijk hoger en anderzijds vereist dit een rechtstreekse connectie tussen de IDP en de SP. m.a.w. je verliest de loose coupling en het feit dat de authenticatie 100% via de browser verloopt.