【问题标题】:Why do I need to share the certificate with an SP for SSO when the certificate is included in the signed SAML response?当证书包含在签名的 SAML 响应中时,为什么我需要与 SSO 的 SP 共享证书?
【发布时间】:2012-06-29 07:21:11
【问题描述】:

我只是想知道,在使用 Salesforce 实施 SAML SSO 时,我意识到我将证书上传到了 SP 端(即 Salesforce),但是当我们发送签名的 SAML 响应时,我可以看到它已经包含证书。

为什么要提前与 SP 共享证书?

【问题讨论】:

    标签: salesforce x509certificate saml saml-2.0


    【解决方案1】:

    一切都是为了在系统之间建立信任。如果您不提前向 SFDC 提供您的证书,他们怎么能相信您发送的消息实际上来自您的 IDP?如果没有提前获得您的证书,他们可以验证消息是否完整,但无法验证消息的实际生成者。当您在 SAML 响应中包含您的公钥时,他们可以检查它是否与您与他们共享的公钥相同,并且与您用于生成签名的公钥相同。

    【讨论】:

    • 如果它是由具有相同公用名 (CN) 的受信任 CA 颁发的,他们可以信任它。 x.509 证书具有颁发机构、证书颁发机构和通用名称作为应该能够验证证书身份的声明。
    猜你喜欢
    • 1970-01-01
    • 2013-11-30
    • 2016-10-04
    • 2011-01-21
    • 2021-09-12
    • 2015-01-08
    • 2021-11-04
    • 1970-01-01
    • 2013-11-01
    相关资源
    最近更新 更多