使用自签名证书进行Saml 2断言

时间:2015-10-16 16:05:54

标签: single-sign-on x509certificate saml saml-2.0

我在Saml 2 SSO的Idp方面工作,作为IdP,我们应该向SP发布一个断言,它将由IdP发起。 断言中有一个名为x509certificate的字段。 我的第一个问题是,这个字段公钥本身还是由CA(证书颁发机构)签署的公钥? 我的第二个问题是,如果它是由CA签署的公钥,那么自签名或更好地由真实CA签名是否安全? 我的第三个问题是,我们是否更好地为SP提供Idp元数据,或者在任何断言请求或两者中都有证书更安全? 谢谢

1 个答案:

答案 0 :(得分:0)

我假设您的意思是嵌入在SAML断言中包含的XML签名中的X.509证书。如果是这样,这是base-64编码的X.509证书,可用于验证XML签名。它是可选的,但通常包括在内。

您应该使用CA颁发的证书。 SP与您的IdP有信任关系。 CA颁发的证书确保它是您的IdP,而不是欺骗您签署并发送SAML断言的人。

您通常会向SP提供包含证书的元数据。 SP将使用此证书来验证您的XML签名。但是,正如我所说的那样,包括XML签名中的证书也没有什么坏处,尽管它不太可能用于实际的签名验证。