我有一个关于从 SP 请求证书时的 saml 工作流的问题。
我们是一家 SP,并且已使用 sam 为许多客户实施了 SSO。我们向客户端 IDP 发送标准请求(不包括任何证书,或请求未签名),并处理他们的响应,以验证其 x509 证书,该证书在预发布中共享并已安装在我们的服务器上。
这是我们目前对证书所做的唯一工作。我们现在有一个客户要求我们的 x509 证书。我们目前没有证书,我想知道根据此请求,我们当前的工作流程发生了哪些变化。
我们是否需要签署初始响应或将证书添加到响应正文中?我有点不知道我们这边需要什么,以及必须做出什么改变。
它显然增加了其他一些安全层,但是当使用此额外签名时,有人可以解释工作流程吗?
提前谢谢。
他们可能希望加密包含属性语句等的 SAML 响应。他们将使用您的公钥(即 SP 的证书)来加密有效负载,然后您(作为 SP 私钥的持有者)将是唯一可以解密该内容的人。
这是 IdP 提出的完全合理的请求。
实际上,您应该使用证书对AuthnRequests和LogoutRequests进行签名。您无需在 AuthnRequest 中提供加密证书,IdP 将使用元数据中的证书来加密内容。