gpt4 book ai didi

certificate - saml - 何时使用 HOK 证书与 IDP 和 SP 证书

转载 作者:行者123 更新时间:2023-12-05 05:27:20 25 4
gpt4 key购买 nike

我试图理解 SAML 2 协议(protocol),但在这个过程中,我对签名和证书业务有点迷茫。

基本上,我不清楚每个证书何时使用。

  1. 服务提供商元数据和身份提供商元数据 - 我们是否需要生成证书/ key 作为 SP 和 IDP 元数据的一部分?如果是,将如何/何时使用这些证书?

  2. HOK token 还需要证书 - 什么时候出现?委托(delegate)人的证书/公钥是否需要与 SP 的证书一起导出到 IDP?

  3. 当使用不记名 token 时(它们没有任何与委托(delegate)人关联的证书),SAML 响应/断言是否仍然已签名?在这种情况下,它与 SAML 响应中的 ds:keyInfo 不同吗?

非常感谢您的帮助!!

最佳答案

1.SP 和 IDP 元数据中的证书通常用于数字签名和数字加密两个目的。元数据上的属性“使用”造成了歧视。证书通常包含在元数据中,但它们也可以省略并带外提供(例如,如果支持,通过在 IDP 和 SP 中直接配置)。这些 key 标识SP和IDP机器,与用户无关。

当 SP 向 IDP 发送 SAML 消息时,可以使用 SP 的私钥(其公钥 + 证书包含在 SP 元数据中并可供 IDP 使用)对消息进行数字签名,IDP 能够使用 SP 的公钥。

当 SP 想要加密部分 SAML 数据(整个消息、断言、名称 ID、属性等)时,它使用 IDP 元数据中声明的公钥,然后 IDP 使用其私钥解密数据。

有时元数据可以包含多个签名或加密 key ,例如如果证书在到期前滚动。

2。承载机制用于确保允许呈现 SAML 消息的实体(例如 Web 浏览器)这样做。在 SAML WebSSO 中,AuthnResponse 消息由 IDP 发出,但由浏览器传递给 SP。 HoK SubjectConfiguration 告诉我们通过确保它可以证明拥有一个私钥来识别演示者,该私钥的公钥/证书包含在 SubjectConfirmation 元素中。这通常是通过使用 SSL/TLS 客户端身份验证来完成的(即,用户在浏览器中安装私钥,并在使用 SSL/TLS 打开 HTTPS 方案时使用它向 SAML 服务进行身份验证)。

所以这里我们处理的是直接发给用户的 key ,而不是发给 SP/IDP 服务的 key 。您是否需要将用户的证书导入 IDP 是特定于 IDP 实现的。

3。是的,消息仍将被签名(当配置为签名时)并且 SAML 响应中的 KeyInfo 在这两种情况下都是相同的。

干杯,弗拉基米尔谢弗

关于certificate - saml - 何时使用 HOK 证书与 IDP 和 SP 证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20032870/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com