Certificate saml-何时使用HOK证书与IDP和SP证书

我试图理解SAML2协议，在这个过程中，我对签名和证书业务有点迷茫

基本上，我不清楚每个证书是何时使用的

服务提供商元数据和身份提供商元数据-我们是否需要生成证书/密钥作为SP和IDP元数据的一部分？如果是，如何/何时使用这些证书

HOK token还需要一个证书-什么时候出现？委托人的证书/公钥是否需要与E SP的证书一起导出到IDP

当使用承载令牌（它们没有任何与主体相关联的证书）时，SAML响应/断言是否仍有签名？它与本例中SAML响应中的ds:keyInfo不同吗

非常感谢你的帮助

1。 SP和IDP元数据中的证书通常用于数字签名和数字加密两个目的。元数据上的属性“用法”进行区分。证书通常包含在元数据中，但也可以在带外分发和提供（例如，通过IDP和SP中的直接配置，如果支持的话）。这些键标识SP和IDP机器，它们与用户无关

当SP向IDP发送SAML消息时，可以使用SP的私钥（其公钥+证书包含在SP元数据中并可供IDP使用）对消息进行数字签名，IDP可以使用SP的公钥验证SP的签名

当SP想要加密部分SAML数据（整个消息、断言、名称ID、属性等）时，它使用IDP元数据中声明的公钥，IDP然后使用其私钥解密数据

有时元数据可能包含多个签名或加密密钥，例如，在证书到期前滚动的情况下

二,。 承载机制用于确保提供SAML消息的实体（如web浏览器）可以这样做。在SAML WebSSO中，身份验证响应消息由IDP发出，但通过浏览器传递到SP。HoK SubjectConfiguration告诉我们，我们正在通过确保演示者能够证明其公钥/证书包含在SubjectConfiguration元素中的私钥的位置来识别演示者。这通常通过使用SSL/TLS客户端身份验证来完成（即，用户在浏览器中安装私钥，并在使用SSL/TLS打开HTTPS方案时使用私钥对SAML服务进行身份验证）

因此，这里我们处理的是直接发给用户的密钥，而不是发给SP/IDP服务的密钥。是否需要将用户证书导入IDP取决于IDP实现

三,。 是的，在这两种情况下，消息仍将被签名（配置为签名时），SAML响应中的KeyInfo将相同

干杯， 弗拉基米尔·谢弗