我们拥有工作正常的ADFS 2016服务器,拥有超过100个客户端,这是声明提供者信任的地方。现在,我需要加入一个地方政府SAML2系统,这是许多政府机构的通用解决方案。它与我们的ADFS设置兼容,除了它们要求(没有任何正当理由)我们使用特殊的政府签名证书作为令牌签名(可能还有加密)证书。现有100多个客户,并且这些客户不会全部从我们的元数据中自动更新,因此我不想在已发布的元数据中更改当前的令牌签名/加密证书。
在ADFS服务器中是否有某种方法可以处理这种情况?
我可以将此政府令牌签名证书作为第二个证书安装到ADFS服务器,并使其不发布在我们的元数据中吗?
第二个证书应该仅与某些选定的索赔提供者信任一起使用,以便默认情况下,ADFS服务器使用我们当前的证书,但将政府证书用于与政府SAML2系统链接的选定索赔提供者信任的登录吗?
还是我们唯一的选择是完全不同的ADFS服务器?
谢谢。
答案 0 :(得分:0)
否-IDP仅使用一个证书。 Azure AD的工作方式完全相同。
您唯一的选择是另一个IDP。
这不必是ADFS,只需另一个IDP。