Encryptie

Omwille van de confidentialiteit van de Response wordt het gebruik van encryptie sterk aanbevolen

Encryptie zorgt ervoor dat de identiteitsgegevens die van de ACM IDP naar de Service Provider (de toepassing) gaan enkel gelezen kunnen worden door de Service Provider zelf, want hij beschikt als enige over de private key om de Response te decrypteren.

Indien de Service Provider encryptie ondersteunt, dan vereisen we dat er een encryptie-certificaat in de SAML metadata opgenomen wordt, zodat de Responses steeds geëncrypteerd kunnen worden.

Jammer genoeg zijn er een aantal implementaties/libraries die het encryptie-luik uit de SAML standaard niet ondersteunen en dan kan de encryptie uiteraard niet geactiveerd worden.

Qua encryptie zijn er 2 opties:

  • bij Assertion encryption wordt de hele assertion (met daarin onder meer de attributen) geëncrypteerd
  • bij Attribute encryption wordt ieder attribuut afzonderlijk geëncrypteerd