是否可以使用自签名证书签署SAML 2.0帖子?我负责使用SAML 2.0与供应商实施新的SSO程序,我们试图确定我们是否可以使用自签名证书签署SAML帖子,或者我们是否需要购买一个。
如果我们可以使用自签名证书,服务提供商是否需要执行任何其他步骤来验证签名?我们正在创建SAML 2.0帖子作为身份提供商。
提前致谢。
答案 0 :(得分:4)
是的,我认为你的意思是签署通过POST绑定返回的断言(参见SAML 2.0 Profiles,第4.1.4.5节)。 SAML 2.0规范要求对SSO进行签名,但不会涉及CA签名与自签名的具体内容。
检查您的软件(IdP和SP方面)以查看支持的内容 - 有些在此方面存在局限性。
答案 1 :(得分:0)
SAML规范实际上建议您使用长期自签名证书。有关详细信息,请参阅this document