要设置一点上下文,我们使用Azure AD SAML2 support使用Office365凭据登录我们的网站。
阅读metadatas文档,我有两个问题:
Azure AD发布的联合元数据文档可以具有多个签名密钥,例如Azure AD准备更新签名证书时。当联合元数据文档包含多个证书时,验证令牌的服务应支持文档中的所有证书。
这是否意味着必须针对所有列出的证书检查SAML2身份验证令牌响应签名,并且如果其中任何一个证书匹配,则认为是有效的?
本主题讨论了您需要了解的有关Azure AD中用于签署安全令牌的公钥的信息。重要的是要注意这些键在6周的时间表上翻转。在紧急情况下,钥匙可能会在6周内更改。使用Azure AD的所有应用程序都应该能够以编程方式处理密钥翻转过程。
这个为期6周的更新计划是否涉及SAML2令牌签名?如果是这样,为什么metadatas中列出的证书有效期更长?
答案 0 :(得分:1)
没有必要针对所有密钥验证签名,但如果您这样做并且签名有效,那么它应被视为有效。
您可以在ds:Signature中使用ds:KeyInfo来确定要确定使用的密钥。