Das SAML Protokoll ist ein sehr sicheres Protokoll, da es auf beidseitiger Signierung (GeoShop und IdP) der ausgetauschten Meldungen beruht. Die Signierung basiert auf allgemeinen kryptographischen Verfahren und den gegenseitig ausgetauschten Zertifikaten. Trotzdem kann es bei Fehlkonfiguration der Systeme zu Sicherheitsproblemen kommen. Es ist daher sehr wichtig, dass folgende Punkte beachtet werden:
In der Produktion müssen die SAML
Meldungen des IdP überprüft werden (VALIDATE_SIGNATURE
ON), sonst könnte ein unbekannter IdP gefälschte Daten
an den GeoShop übermitteln. Der Parameter
VALIDATE_SIGNATURE darf
nur zu Testzwecken auf OFF
gesetzt werden.
Es muss ein Login Skript unter
LOAD_USER konfiguriert werden und der Skript
muss die Bibliothek
saml.lib einbinden.