背景: 1.最初基于ADFS的SAML工作正常,但在ADFS证书更新后,它无法正常工作。由于ADFS的证书将过期,因此我们更新证书,但遗憾的是无法使用更新的证书ADFS正常工作
例外情况是春天SAML中引发的“签名不可信或无效”。更新ADFS证书时是否存在一些特别需要注意的事项?
答案 0 :(得分:1)
您需要重新生成Identity provider (IDP) XML file,即federation-metadata.xml并与客户端进行交换,即Service provider。正如您所提到的,ADFS certificates已过期,并且您重新配置了新证书,因此这些证书对于基于系统配置方式从IDP发出的声明的加密和签名起着重要作用。您已在IDP端进行了更改,但在SP端仍旧,旧的federation-metadata.xml与旧的证书一起使用。当IDP发出assertions或响应时,将使用那些证书来验证该响应。当您重新生成该文件时,它将包含与证书有关的最新详细信息。因此,您需要重新生成federation-metadata.xml并与服务提供商(SP)共享才能解决此问题。