SAMLアーティファクトの目的は何ですか？

Scott Tの答えを拡張して、SAMLアーティファクトプロファイルはセキュリティを改善するために設計されました。ユーザーがトラフィックの途中でSAMLアサーション（ユーザー名、ロールなどを変更するなど）を変更できないようにするために、SAML 2.0では、開発者がXML署名を介してアサーションに署名することを提案しています。ただし、XML署名は、既存のすべてのXMLパーサーに問題があるため、XMLラッピング攻撃に対して非常に脆弱です。 https://www.usenix.org/conference/usenixsecurity12/breaking-saml-be-whoever-you-want-be にアクセスして、SAMLアサーションに対するXMLラッピング攻撃の動作を確認してください。

SAMLアーティファクトプロファイルは、SAMLアサーションではなく、ユーザーによって（リダイレクトまたはポストを介して）サービスプロバイダーに渡される1回限りの「アーティファクト」を作成することにより、この問題を解決します。サービスプロバイダーは、1回限りの使用アーティファクトを受け取ると、SAMLアーティファクト解決要求（アーティファクトを含む）をIDプロバイダーのアーティファクト解決サービス（ARS）に送信します。その後、ARSはSAMLアーティファクトレスポンス（ユーザーのSAMLアサーションを含む）で応答します。これにより、SAMLアサーションがバックチャネル経由でサービスプロバイダーに直接受信されるため、ユーザーによってSAMLアサーションが変更されることを防ぎます。

SAMLメッセージは、値または参照により、あるエンティティから別のエンティティに送信されます。 SAMLメッセージへのreferenceは、artifactと呼ばれます。アーティファクトの受信者は、アーティファクトの発行者に直接リクエストを送信することで参照を解決し、発行者はアーティファクトが参照する実際のメッセージで応答します。

SAML 2. を参照

アーティファクトがなければ、実際のメッセージに到達する方法はありません。

これは、HTTPアーティファクトバインディングを使用する場合にのみ必要であることに注意してください。 （より一般的なHTTPとは対照的に、POST SAMLメッセージを単純に送信するバインディング）。

最近では興味がないと考えられるかもしれませんが、ユーザーエージェントとsp＆idpサーバー間の帯域幅が狭く、sp＆idp間の帯域幅が良い場合、アーティファクトプロファイルも役立ちます。 （重い）アサーションは、idpからuaおよびuaからspに循環せず、特定の状況でより良いパフォーマンスを示す場合があります。

HTTPアーティファクトバインディングを使用するもう1つの理由は、SSLを使用してSAMLメッセージの整合性と機密性を確保できることです。 SAMLリクエスターおよびレスポンダーは、SAMLメッセージに署名、検証、暗号化、および復号化する必要はありません。