有效的 SAML2 连接是否需要交换元数据?
Is exchange of metadata required for a working SAML2 connection?
我们作为 SAML2 服务提供商运营。几周前我们的证书过期了,因此我们向客户提供了新的元数据。我们告诉他们他们必须将新数据上传到他们的 Idp,否则 SSO 将不再工作,因为连接不再被视为受信任。
现在一位客户告诉我们他们没有交换新的元数据(他们存储了旧的元数据),但连接仍然有效并且他们的员工能够登录。所以我的问题是:有效的 SAML2 连接是否需要交换元数据?为什么它仍然适用于旧元数据?
非常感谢您
元数据XML用于轻松配置连接的两端,身份提供者和服务提供者。一旦配置完成,就不再需要了。
例如,WSO2 身份服务器无法生成或接受元数据文件,但它能够管理基于 SAML 的会话。 How to download or know the URL of WSO2 Identity Server's SAML metadata?
如第一个答案所述,交换元数据不是必需的,这是一个选项。
请注意,由于您是服务提供商,因此您无需(根据规范)签署您的消息。 的另一种方式当然是:IDP 需要对其消息进行签名。
所以你确定你的消息是作为 SP 签名的吗?即便如此,IDP 的实现甚至可能无法处理(因为它是可选的)并忽略签名。在这些情况下,来自 SP 的证书轮转可能不会产生任何影响。
这可以解释观察到的行为。
我们作为 SAML2 服务提供商运营。几周前我们的证书过期了,因此我们向客户提供了新的元数据。我们告诉他们他们必须将新数据上传到他们的 Idp,否则 SSO 将不再工作,因为连接不再被视为受信任。
现在一位客户告诉我们他们没有交换新的元数据(他们存储了旧的元数据),但连接仍然有效并且他们的员工能够登录。所以我的问题是:有效的 SAML2 连接是否需要交换元数据?为什么它仍然适用于旧元数据?
非常感谢您
元数据XML用于轻松配置连接的两端,身份提供者和服务提供者。一旦配置完成,就不再需要了。
例如,WSO2 身份服务器无法生成或接受元数据文件,但它能够管理基于 SAML 的会话。 How to download or know the URL of WSO2 Identity Server's SAML metadata?
如第一个答案所述,交换元数据不是必需的,这是一个选项。
请注意,由于您是服务提供商,因此您无需(根据规范)签署您的消息。 的另一种方式当然是:IDP 需要对其消息进行签名。
所以你确定你的消息是作为 SP 签名的吗?即便如此,IDP 的实现甚至可能无法处理(因为它是可选的)并忽略签名。在这些情况下,来自 SP 的证书轮转可能不会产生任何影响。
这可以解释观察到的行为。