Single sign on 工作的SAML2连接是否需要交换元数据？

我们以SAML2服务提供商的身份运营。几周前，我们的证书过期了，所以我们向客户提供了新的元数据。我们告诉他们必须将新数据上传到他们的Idp，否则SSO将无法工作，因为连接将不再被视为可信连接

现在一位客户告诉我们，他们没有交换新的元数据（他们存储了旧的元数据），但连接仍然有效，他们的员工可以登录。所以我的问题是：工作的SAML2连接是否需要元数据交换？为什么它仍然适用于旧的元数据

---

非常感谢您

元数据XML用于轻松配置连接两端、身份提供商和服务提供商。一旦配置好，就不再需要了

---

例如，WSO2 Identity server没有生成或接受元数据文件的方法，但它能够管理基于SAML的会话

如第一个答案中所述，不需要交换元数据，这是一个选项

请注意，由于您是服务提供商，因此（根据规范）不需要您在邮件上签名。当然，的另一种方式是需要的：IDP需要对其消息进行签名

那么，您是否确定您以SP身份在邮件上签名？即使这样，IDPs实现也可能无法处理这一问题（因为它是可选的）并忽略签名。在这些情况下，SP的证书展期可能不会产生任何影响

---

这可以解释观察到的行为。

谢谢。但为什么另一方的证书会存储在元数据中？我想它将与传入的请求进行比较。我按将证书导入本地密钥库以在后续连接中标识该方。根据我的经验，元数据XML的每个值都可以在IDP和SP上手动配置。（Shibboleth、WSO2IS、Weblogic、Liferay）。。。