Вопрос рабочего процесса SAML относительно сертификатов

Question

У меня есть вопрос, касающийся рабочего процесса saml, когда сертификаты запрашиваются у SP.

Мы являемся SP и внедрили sso, используя saml для ряда клиентов.Мы отправляем стандартный запрос (не содержит сертификат или запрос не подписан) клиенту IDP и обрабатываем их ответ, проверяя их сертификат x509, который был перед предварительным выпуском и установлен на нашем сервере.

Это единственная работа, которую мы делаем с сертификатами на данный момент.Теперь у нас есть клиент, который запрашивает наш сертификат x509.В настоящее время у нас нет сертификата, и мне интересно, какие изменения в нашем текущем рабочем процессе основаны на этом запросе.

Нужно ли подписывать наш первоначальный ответ или добавлять сертификат в тело ответа?Я немного в неведении относительно того, что требуется от нашего конца и какие изменения должны были произойти.

Это явно добавляет какой-то другой уровень безопасности, но может ли кто-нибудь объяснить рабочий процесс при использовании этой дополнительной подписи?

Заранее спасибо.

Answer 1

Они, вероятно, хотят зашифровать ответ SAML, содержащий операторы атрибутов и т. Д. Они будут использовать ваш открытый ключ (то есть сертификат SP) для шифрования полезной нагрузки, и тогда вы (как владелец личного ключа SP) будететолько один, который может расшифровать этот контент.

Это вполне разумный запрос от IdP.

И реально, вы должны подписывать свои AuthnRequests и LogoutRequests с помощью сертификата.Вам не нужно предоставлять сертификат шифрования в AuthnRequest, IdP будет использовать этот сертификат в метаданных для шифрования содержимого.