我们的客户端(IDP(请求了我们的私钥,以便他们可以将我们的服务注册为SP,这对我来说似乎是一个非常奇怪的请求,因为将我们的私钥提供给他们可以解密我们的任何其他客户端SAML请求,甚至创建请求并攻击我们连接的其他IDP。
我立即关闭了它,但他们让我参考Azure AD B2C文档
若要在服务提供商和Azure AD B2C之间建立信任关系,您需要提供X509证书及其私钥。
这正常吗?我一直认为他们只需要我们的x509证书
从文档中看,您的私钥似乎总是随身携带:
带有私钥的证书存储在您的Web应用中
私钥位于SP应用程序(提供SP功能的web应用程序(中,用于向IdP签署SAMLRequest。IdP只需要SP元数据中的SP公钥证书即可验证签名。
(可选(具有存储在Web应用中的私钥的证书
IdP可以选择使用SP元数据中的SP公钥证书对SAMLResponse进行加密。然后,SP使用其私钥对响应进行解密。
措辞不太好,因为它似乎说要把公钥和私钥都交给IdP。但SAML并不是这样工作的。读作"交出公钥并将相应的私钥保存在SP网络应用程序中"更有意义。
我看不出有什么理由让一个实体必须向任何事情泄露其私钥。