【问题标题】:SAML workflow question regarding certificates关于证书的 SAML 工作流程问题
【发布时间】:2019-05-28 08:46:16
【问题描述】:

当从 SP 请求证书时,我有一个关于 saml 工作流程的问题。

我们是一家 SP,并已为许多客户使用 saml 实施 sso。我们向客户端 IDP 发送一个标准请求(不包括任何证书,或请求未签名)并处理他们的响应,以验证他们的 x509 证书,该证书是共享的预发布并已安装在我们的服务器上。

这是我们目前对证书所做的唯一工作。我们现在有一个客户要求我们提供 x509 证书。我们目前没有证书,我想知道根据这个请求我们当前的工作流程有什么变化。

我们是否需要签署初始响应或将证书添加到响应正文中?对于我们最终需要什么以及必须做出哪些改变,我有点不知所措。

这显然是增加了一些其他的安全层,但有人可以解释一下使用这个额外签名时的工作流程吗?

提前致谢。

【问题讨论】:

    标签: single-sign-on saml x509certificate


    【解决方案1】:

    他们可能想要加密包含属性声明等的 SAML 响应。他们将使用您的公钥(即 SP 的证书)来加密有效负载,然后您(作为 SP 私钥的持有者)将成为只有一个可以解密该内容。

    这是来自 IdP 的完全合理的请求。

    实际上,您应该使用证书签署您的 AuthnRequests 和 LogoutRequests。您无需在 AuthnRequest 中提供加密证书,IdP 将使用元数据中的证书对内容进行加密。

    【讨论】:

      猜你喜欢
      • 2011-10-29
      • 2020-05-17
      • 2012-06-17
      • 2016-11-22
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-07-22
      相关资源
      最近更新 更多