gpt4 book ai didi

single-sign-on - 为什么在设置基于 SAML 的 SSO 时需要 IdP 证书指纹

转载 作者:行者123 更新时间:2023-12-04 06:41:03 30 4
gpt4 key购买 nike

前一段时间,我致力于在 Web 应用程序中设置 SSO 用户身份验证。特定的 IdP 是 ADFS 服务器,但我认为这不是很重要。

在配置应用程序的 SSO 设置时,我注意到需要 IdP 证书的指纹,而不是证书本身。现在,据我所知,应用程序使用指纹来验证 IdP 在颁发的 SAML token 上的签名。

问题是应用程序如何仅使用证书指纹来验证签名?它不需要证书的公钥,它是证书本身的一部分,而不是它的指纹吗?这个签名验证过程是如何工作的?

最佳答案

指纹在发送方和接收方之间进行带外交换,并在接收端进行配置。它使用公钥唯一地标识一个证书,发送者使用该公钥对它发送的 SAML 消息进行签名。

然后,证书本身可以作为 SAML 消息本身的一部分在带内发送。在使用该 key 对 SAML 消息进行加密验证之前,接收方将该证书的指纹与存储的指纹进行比较,以确认正在处理适当的发送方和关联的 key 。

这样做的优点是只需事先在带外交换一条小消息。这可能很有用,例如当通过电话线读取时,但缺点是需要随每条消息发送完整的证书(原则上至少是第一条消息......),这会增加每条消息的大小。

关于single-sign-on - 为什么在设置基于 SAML 的 SSO 时需要 IdP 证书指纹,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52727994/

30 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com