我有一个网站充当单点登录的身份提供商(IdP)和另外两个使用SAML 2对其进行身份验证的服务提供商。目前,两个服务提供商都使用相同的证书来验证来自IdP的SAML响应。
我现在很快就加入了第三服务提供商,我想知道我是否应该真正向各方发放单独的证书,以便我们可以在必要时撤销其访问权限而不影响其他服务提供商?别人采取了什么方法,为什么?
我使用SimpleSamlPHP作为IdP。
答案 0 :(得分:4)
据我所知,您想要的是能够撤销一个SP的SSO访问,但不是全部。
我认为这不应该通过撤销证书来完成,而是通过从SimpleSamlPHP中删除元数据来完成。
答案 1 :(得分:1)
问题在于证书信息在发送给SP的IDP元数据中,并且元数据通常仅允许一个任务的一个证书(可以是不同的任务,例如用于签名和加密)。
以另一种方式回来,例如签署SP Authn请求后,所有SP可以有不同的cetificates或者他们可以共享。
某些产品,例如汇总3之前的ADFS 2.0不允许SP共享证书。