当从SP请求证书时,我对saml工作流程有疑问。
我们是SP,并且已使用saml为许多客户实施了sso。我们向客户IDP发送标准请求(不包含任何证书,或者请求未签名),并处理他们的响应,以验证其x509证书(已预发行并已安装在我们的服务器上)。
这是目前我们对证书所做的唯一工作。现在,我们有一个客户正在要求我们的x509证书。我们目前没有证书,我想知道根据此请求在当前工作流程中有哪些更改。
我们需要在初始响应上签名还是将证书添加到响应正文中?我对最终需要的内容以及要进行的更改尚不了解。
它显然增加了其他一些安全性,但是当使用这种额外的签名时,有人可以解释工作流程吗?
谢谢。
答案 0 :(得分:0)
他们可能想要加密包含属性语句等的SAML响应。他们将使用您的公钥(即SP的证书)来加密有效负载,然后您(作为SP的私钥的持有者)将成为只有一个可以解密该内容。
这是来自IdP的完全合理的请求。
实际上,您应该使用证书对AuthnRequests和LogoutRequests进行签名。您无需在AuthnRequest中提供加密证书,IdP将使用元数据中的证书来加密内容。