如果已经通过 IdP/SP 元数据交换了证书,为什么还要在 SAML request/response 中再次发送证书?
Why sending certificates again in SAML request/response if they were already exchanged via IdP/SP metadata?
只是想知道,在 SAML SSO 中,SP 可以在 SAML 请求中包含其证书,而 IdP 可以在 SAML response/assertion 中包含其证书,因此他们可以验证来自每个人的消息的签名其他.
我的问题是,为什么在请求和响应中再次包含证书,因为当双方从对方那里获取 SAML 元数据时,用于签名和加密的证书已经交换了?
在许多情况下,不应信任嵌入式证书,但它们在调试签名验证问题时非常有用。例如,如果合作伙伴提供商更改了他们的证书,但之前没有进行过沟通,则通过查看嵌入式证书很容易看出发生了这种情况。当然,您随后应该联系合作伙伴提供商以确认新证书或请求他们更新的元数据。
在某些情况下,嵌入式证书可能是可信的(例如,证书颁发者是可信的,证书是有效的,主题名称是被接受的)。但是,根据我的经验,使用嵌入式证书进行调试更为常见。
只是想知道,在 SAML SSO 中,SP 可以在 SAML 请求中包含其证书,而 IdP 可以在 SAML response/assertion 中包含其证书,因此他们可以验证来自每个人的消息的签名其他.
我的问题是,为什么在请求和响应中再次包含证书,因为当双方从对方那里获取 SAML 元数据时,用于签名和加密的证书已经交换了?
在许多情况下,不应信任嵌入式证书,但它们在调试签名验证问题时非常有用。例如,如果合作伙伴提供商更改了他们的证书,但之前没有进行过沟通,则通过查看嵌入式证书很容易看出发生了这种情况。当然,您随后应该联系合作伙伴提供商以确认新证书或请求他们更新的元数据。
在某些情况下,嵌入式证书可能是可信的(例如,证书颁发者是可信的,证书是有效的,主题名称是被接受的)。但是,根据我的经验,使用嵌入式证书进行调试更为常见。