SAML声明上的必需签名
问题描述:
是否需要签署SAML令牌?根据模式,它看起来不需要签名元素。SAML声明上的必需签名
为了替代对SAML令牌进行签名,我们需要客户端证书(双向SSL)来验证消费者是否为受信任的消费者。这是一个可行的选择吗?
答
这取决于你使用的绑定和你的用例是什么。如果您正在讨论工件解析协议,则SOAP绑定不需要签名的SAML响应。但是,HTTP帖子绑定(Web SSO配置文件)总是需要签名。
允许对SOAP绑定进行相互TLS身份验证,但对于Web SSO配置文件来说,这是不实际的。
所以,它真的取决于你的用例是什么,因为每个配置文件/绑定有它自己的要求。
答
HTTP Post Binding(Web SSO配置文件)始终需要签名。它是大多数IdP的可配置选项。例如SAP Netweaver IdP。
这确实有很大帮助。你知道断言查询和请求协议是否需要签名吗? – 2010-07-15 14:59:01
我不这么认为,因为这必须通过SAML SOAP 1.1绑定完成。但是,我并不熟悉断言查询/请求配置文件是100%确定的。 – Ian 2010-07-29 14:23:58