Certificate SAML 2 IdP-是否应该为每个服务提供商创建不同的证书？_Certificate_Single Sign On_Saml_Saml 2.0_Simplesamlphp

Certificate SAML 2 IdP-是否应该为每个服务提供商创建不同的证书？

certificate single-sign-on

Certificate SAML 2 IdP-是否应该为每个服务提供商创建不同的证书？,certificate,single-sign-on,saml,saml-2.0,simplesamlphp,Certificate,Single Sign On,Saml,Saml 2.0,Simplesamlphp,我有一个站点充当单点登录的身份提供者（IdP），另外两个服务提供者使用SAML2对其进行身份验证。目前，两个服务提供商使用相同的证书来验证来自IdP的SAML响应我现在很快就有一家第三方服务提供商加入，我想知道我是否真的应该向每一方颁发单独的证书，这样我们就可以在不影响其他服务提供商的情况下撤销他们的访问权限（如果需要）？其他人采取了什么方法？为什么我使用SimpleSamlPHP作为IdP 问题在于，证书信息位于发送给SP的IDP元数据中，元数据通常只允许一个任务有一个证书（可以是不同的任

我有一个站点充当单点登录的身份提供者（IdP），另外两个服务提供者使用SAML2对其进行身份验证。目前，两个服务提供商使用相同的证书来验证来自IdP的SAML响应

我现在很快就有一家第三方服务提供商加入，我想知道我是否真的应该向每一方颁发单独的证书，这样我们就可以在不影响其他服务提供商的情况下撤销他们的访问权限（如果需要）？其他人采取了什么方法？为什么

我使用SimpleSamlPHP作为IdP

问题在于，证书信息位于发送给SP的IDP元数据中，元数据通常只允许一个任务有一个证书（可以是不同的任务，例如签名和加密）

如果以另一种方式返回，例如签署SP Authn请求，则所有SP都可以有不同的证书，也可以共享

某些产品（如汇总3之前的ADFS 2.0）不允许SP共享证书。

问题在于，证书信息位于发送给SP的IDP元数据中，元数据通常只允许一个任务使用一个证书（可以是不同的任务，例如签名和加密）

如果以另一种方式返回，例如签署SP Authn请求，则所有SP都可以有不同的证书，也可以共享

某些产品（如汇总3之前的ADFS 2.0）不允许SP共享证书。

据我所知，您想要的是能够撤销一个SP（而不是所有SP）的SSO访问

我认为这不应该通过撤销证书来实现，而应该通过从SimpleSamlPHP中删除元数据来实现。

据我所知，您想要的是能够撤销一个SP（而不是所有SP）的SSO访问

我认为这不应该通过撤销证书来实现，而应该通过从SimpleSamlPHP中删除元数据来实现