IdP постоянно меняет подпись x509

Question

У меня проблема, из-за которой ссылка SSO на основе SAML не работает из-за того, что сертификаты подписи IdP постоянно меняются.

У меня (как SP) есть конфигурация, основанная на метаданных федерации IdP, она имеетдва сертификата подписи (X509).Все работает как положено.

Через несколько недель связь SSO разорвана из-за того, что IdP возвращает ответ SAML с другим сертификатом подписи.Я проверяю его метаданные, да, разные сертификаты подписи.

Как мне реализовать мой конец (как SP), чтобы мой запрос SAML включал в себя x509, используемый IdP?

Кроме того, это обычная практика?для IdP постоянно менять певческие сертификаты?У меня никогда не было этой проблемы раньше, и у меня есть несколько лет интеграции SSO, основанной на той же стратегии: обмен метаданными.Можно ли настроить IdP так, чтобы сертификаты не менялись?

• IdP - Azure AD.
• Я (как SP) использую инструментарий OneLogin PHP.
• Мое приложение было настроено как приложение без галереи .

Answer 1

Подход, который вы выбрали - настроить приложение, не относящееся к галерее, дает вам полный контроль над интеграцией SAML. С вашим полным контролем приходит и ваша полная ответственность. На ваш вопрос:

Обычно IdP постоянно меняет пение сертификаты?

Да, это обычная и хорошая практика. Ну, не каждые две недели, а максимум год.

Возвращаясь к вашему измененному сертификату подписи. Ссылка , которая использовалась в исходном вопросе ( этот ), имеет явный раздел о сертификате. Раздел называется Просмотр данных об истечении срока действия сертификата, статуса и уведомления по электронной почте . Это объясняет о сертификатах. Если вы продолжите читать этот же раздел, вы в конечном итоге увидите другую ссылку: Управление сертификатами для федеративного единого входа в Azure Active Directory , где вы найдете еще больше информации об управлении сертификатами на стороне IdP .