我们是否需要在IDP发起的SSO(SAML)中使用Keystore / JKSKeyManager?

时间:2015-02-19 11:18:22

标签: saml-2.0 spring-saml opensaml

我已经使用Spring-SAML扩展成功实现了SSO身份验证。我们主要要求支持IDP发起的SSO到我们的应用程序。好吧,通过使用spring-security-saml2-sample的配置,甚至SP启动的SSO流程也适用于我们。

问题:密钥库是否用于IDP发起的SSO(如果元数据有证书)?如果不使用,我想从 securityContext.xml 中删除密钥库配置。

注意:我们不需要SP启动的SSO和全局注销。我们使用Okta作为IDP。

1 个答案:

答案 0 :(得分:4)

这是一个很好的功能请求。我已经为您打开了https://jira.spring.io/browse/SES-160,并在Spring SAML's trunk中提供了支持,其中包含以下文档:

  

如果您的应用程序不需要创建数字签名   和/或解密传入的消息,可以使用空的   实现不需要任何JKS文件的密钥库    - org.springframework.security.saml.key.EmptyKeyManager。这可以是   例如,仅使用IDP初始化单点登录时的情况。   请注意,当使用EmptyKeyManager部分Spring SAML时   功能将无法使用。这包括至少SP初始化   单点登录,单点注销,使用其他密钥   ExtendedMetadata并验证元数据签名。使用   跟随bean以初始化EmptyKeyManager

     

<bean id="keyManager" class="org.springframework.security.saml.key.EmptyKeyManager"/>