我已经使用Spring-SAML扩展成功实现了SSO身份验证。我们主要要求支持IDP发起的SSO到我们的应用程序。好吧,通过使用spring-security-saml2-sample的配置,甚至SP启动的SSO流程也适用于我们。
问题:密钥库是否用于IDP发起的SSO(如果元数据有证书)?如果不使用,我想从 securityContext.xml 中删除密钥库配置。
注意:我们不需要SP启动的SSO和全局注销。我们使用Okta作为IDP。
答案 0 :(得分:4)
这是一个很好的功能请求。我已经为您打开了https://jira.spring.io/browse/SES-160,并在Spring SAML's trunk中提供了支持,其中包含以下文档:
如果您的应用程序不需要创建数字签名 和/或解密传入的消息,可以使用空的 实现不需要任何JKS文件的密钥库 -
org.springframework.security.saml.key.EmptyKeyManager
。这可以是 例如,仅使用IDP初始化单点登录时的情况。 请注意,当使用EmptyKeyManager
部分Spring SAML时 功能将无法使用。这包括至少SP初始化 单点登录,单点注销,使用其他密钥ExtendedMetadata
并验证元数据签名。使用 跟随bean以初始化EmptyKeyManager
:
<bean id="keyManager" class="org.springframework.security.saml.key.EmptyKeyManager"/>