Ogni provider di identità SAML dovrebbe fornire un certificato pubblico univoco al fornitore di servizi?

2

Quando si accettano chiavi pubbliche da qualcuno che crea un provider di identità per l'accesso alle risorse protette da un provider di servizi che utilizza SAML 2.0, è assolutamente necessario disporre di un certificato univoco? È coperto dalle specifiche SAML?

Se non lo fanno, suppongo che l'uso dei certificati come livello di difesa sia reso nullo. Un esempio potrebbe essere qualcuno che sta configurando un IdP di test e riutilizzando il certificato per la produzione.

    
posta Dave 08.04.2014 - 17:33
fonte

2 risposte

1

Non è specificato che i certificati per due idp debbano essere univoci. Per quanto ne so non hai nemmeno bisogno di avere un certificato. Ma è raccomandato.

    
risposta data 08.04.2014 - 18:05
fonte
1

Per espandere la risposta di Stefan:

Inoltre, assicurerei che il certificato utilizzato per la firma sia diverso da quello utilizzato per la crittografia, nonché diverso da quello utilizzato da TLS (spero che tu non stia ancora utilizzando SSL) per proteggere il canale di comunicazione.

In altre parole ... Un certificato unico per ogni cosa.

    
risposta data 09.04.2014 - 13:00
fonte

Leggi altre domande sui tag