我必须在项目中添加SAML实现。我决定使用Spring SAML。 我能够生成服务提供者元数据文件,我必须将此文件发送到IDP(此IDP使用ADFS),但我不知道是否应为SP元数据创建自动签名密钥或CA签名证书文件。 根据此link,最佳做法是生成自签名证书(x509证书)。但我也发现了一些建议使用CA签名证书的主题。
但我在规格上找不到任何东西。
最佳做法是什么? 如果我应该使用CA签名证书,我该如何获得它?
感谢All
答案 0 :(得分:3)
SAML2使用证书作为处理签名和加密密钥的便捷方式。 SAML2规范甚至声明不能认为证书尚未过期或被发布到任何相关主机名。
这就是规范所说的。但实际上,一些IDP或SP运营商要求证书有效。
我建议您与Idp运营商交谈并询问他们是否有任何要求。如果他们不这样做,请选择自签名证书。