只是想知道,在SAML单点登录中,SP可以将其证书包含在SAML请求中,IdP可以将其证书包含在SAML响应/断言中,因此它们可以验证来自彼此的消息的签名。
我的问题是为什么在请求和响应中再次包含证书,因为签名和加密的证书已经在双方相互获得SAML元数据时交换了?
在许多情况下,嵌入式证书不应该被信任,但它们在调试签名验证问题时非常有用。例如,如果合作伙伴提供者更改了他们的证书,但是之前没有进行沟通,那么通过查看嵌入的证书就很容易看出已经发生了这种情况。当然,您应该联系合作伙伴提供程序,确认新证书或请求其更新的元数据。
在某些情况下,嵌入式证书可能是可信的(例如,证书颁发者是可信的,证书是有效的,并且主题名称被接受)。然而,根据我的经验,更常见的是将嵌入式证书用于调试目的。