Warning: file_get_contents(/data/phpspider/zhask/data//catemap/0/azure/12.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Certificate saml-何时使用HOK证书与IDP和SP证书_Certificate_Saml_Saml 2.0 - Fatal编程技术网

Certificate saml-何时使用HOK证书与IDP和SP证书

Certificate saml-何时使用HOK证书与IDP和SP证书,certificate,saml,saml-2.0,Certificate,Saml,Saml 2.0,我试图理解SAML2协议,在这个过程中,我对签名和证书业务有点迷茫 基本上,我不清楚每个证书是何时使用的 服务提供商元数据和身份提供商元数据-我们是否需要生成证书/密钥作为SP和IDP元数据的一部分?如果是,如何/何时使用这些证书 HOK token还需要一个证书-什么时候出现?委托人的证书/公钥是否需要与E SP的证书一起导出到IDP 当使用承载令牌(它们没有任何与主体相关联的证书)时,SAML响应/断言是否仍有签名?它与本例中SAML响应中的ds:keyInfo不同吗 非常感谢你的帮助 1。

我试图理解SAML2协议,在这个过程中,我对签名和证书业务有点迷茫

基本上,我不清楚每个证书是何时使用的

  • 服务提供商元数据和身份提供商元数据-我们是否需要生成证书/密钥作为SP和IDP元数据的一部分?如果是,如何/何时使用这些证书

  • HOK token还需要一个证书-什么时候出现?委托人的证书/公钥是否需要与E SP的证书一起导出到IDP

  • 当使用承载令牌(它们没有任何与主体相关联的证书)时,SAML响应/断言是否仍有签名?它与本例中SAML响应中的ds:keyInfo不同吗

  • 非常感谢你的帮助

    1。 SP和IDP元数据中的证书通常用于数字签名和数字加密两个目的。元数据上的属性“用法”进行区分。证书通常包含在元数据中,但也可以在带外分发和提供(例如,通过IDP和SP中的直接配置,如果支持的话)。这些键标识SP和IDP机器,它们与用户无关

    当SP向IDP发送SAML消息时,可以使用SP的私钥(其公钥+证书包含在SP元数据中并可供IDP使用)对消息进行数字签名,IDP可以使用SP的公钥验证SP的签名

    当SP想要加密部分SAML数据(整个消息、断言、名称ID、属性等)时,它使用IDP元数据中声明的公钥,IDP然后使用其私钥解密数据

    有时元数据可能包含多个签名或加密密钥,例如,在证书到期前滚动的情况下

    二,。 承载机制用于确保提供SAML消息的实体(如web浏览器)可以这样做。在SAML WebSSO中,身份验证响应消息由IDP发出,但通过浏览器传递到SP。HoK SubjectConfiguration告诉我们,我们正在通过确保演示者能够证明其公钥/证书包含在SubjectConfiguration元素中的私钥的位置来识别演示者。这通常通过使用SSL/TLS客户端身份验证来完成(即,用户在浏览器中安装私钥,并在使用SSL/TLS打开HTTPS方案时使用私钥对SAML服务进行身份验证)

    因此,这里我们处理的是直接发给用户的密钥,而不是发给SP/IDP服务的密钥。是否需要将用户证书导入IDP取决于IDP实现

    三,。 是的,在这两种情况下,消息仍将被签名(配置为签名时),SAML响应中的KeyInfo将相同

    干杯, 弗拉基米尔·谢弗