标签: single-sign-on saml saml-2.0
快速提问,
对于IdP发送旧证书并且与SP期望的证书不匹配的事实可以解释,但SSO仍然有效吗?
可能是其他地方的公钥仍然匹配吗?
答案 0 :(得分:2)
我见过公钥不会改变的证书,但有效期,序列号等确实会发生变化。但这并不常见。
更可能出现的情况是:
(i)IdP正在使用SP预期的证书,
(ii)SP正在使用嵌入式证书
(iii)SP没有验证签名。
如果您查看收到的SAML响应,它通常包含嵌入在XML签名中的base-64编码证书。
您可以针对您期望的证书进行检查。