以下是问题:
使用CA证书保护SAML断言有什么好处?我理解在建立传输SAML断言的SSL连接时,如何使用CA证书是有益的,但是当SP接受SAML断言本身时,PKI握手的CA证书又如何呢?我有一方争辩说,在SAML交换中,SP无法通过信任链迭代到根CA证书,而另一方面我有人说它可以。
如果您可以指向支持您答案的权威来源,则可获得积分。
答案 0 :(得分:3)
如果我理解正确,您会想知道在签署SAML断言时CA是否有使用证书签名的意义。
在我看来,你不应该需要这个。建立初始信任和交换元数据时,可以在元数据中包含实体的公钥。 如果您可以相信元数据的交换是安全的,那么您只需根据元数据中的公钥验证签名。
我无法看到CA如何为这种情况带来任何价值。
答案 1 :(得分:0)
我也同意。虽然在standard Shibboleth Metadata sharing mechanism(联盟)中,整个发布的元数据块都是通过联合证书签名的。因此,PKI可能(并且可能)用于在安全伙伴之间分发服务和IdP元数据。但正如Stefan写的那样,用可信CA签署的证书签署断言是没有意义的