关于如何处理这些事情,我可能有一个错误的想法,但目前是这种情况:
我有一个WebApi服务,该服务接受来自Sharepoint Online(SPO)的请求,其中已传递了SAML2令牌。 SAML2令牌是由SPO STS发行的,我将需要验证该令牌,并从中提取要求。
我的问题是如何验证令牌?是否可以通过某种方式信任 STS,因此我可以验证签名(可能必须将令牌解密为好)全部就位?如果不是,并且我必须再次调用STS,验证令牌的端点应该是什么?我找不到太多的文档。
答案 0 :(得分:0)
如果您将O365用作STS或IdP,并且向您的服务提供了SAML2.0声明,则必须从元数据链接中获取其X509证书(以验证收到的SAML2.0声明的签名):{{ 1}}。
确保您从EntityDescriptor-> IDPSSODescriptor-> KeyDescriptor使用=“ signing”-> KeyInfo-> X509Data-> X509Certificate中检索X509Certificate。