Hakan organisaatiovalintapalvelu (https://wiki.eduuni.fi/x/QoigAQ) perustuu Discovery Service Protocol määritykseen (https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-idp-discovery.pdf). Protokollassa käytetään selaimessa uudelleenohjauksia ja uudelleenohjaukset ovat keinoja käyttäjätietojen kalasteluun. Riskin pienentämiseksi, protokollassa määritetään tarkistus käytetyille osoitteille, jotta valintapalvelu ohjaa vain haluttuihin kohteisiin.
Osoitteen asettaminen
Hakan Resurssirekisterissä on mahdollisuus syöttää "Discovery Response URL" arvoja. Tähän tulee syöttää osoite, johon organisaatiovalinnan jälkeen käyttäjä uudelleenohjataan. Kun DS-osoitteet on asetettu, uudelleenohjaus palveluun onnistuu vain täällä listattuihin osoitteisiin.
Osoitteen tarkistaminen
Palvelun eli SP:n käyttämän osoitteen voi tarkistaa käynnistämällä valintapalvelua käyttävä kirjautumisen palvelussa. Osoite välitetään DS-palvelulle menevässä pyynnössä, jonka voi selaimesta tarkistaa ja verrata Resurssirekisterissä sekä Haka-metadatassa oleviin tietoihin.
Esimerkissä on käytetty Hakan attribuuttitestipalvelua https://firmitas.csc.fi/haka, josta käynnistetty kirjautuminen. Viesti on tarkasteltu Firefoxn SAML Tracer lisäosan avulla.
Jos palvelun lähettämä osoite on eri kuin metadatassa ilmoitettu, DS kieltäytyy lähettämästä käyttäjää takaisin palveluun ja kirjautuminen estyy.