Sono nuovo di SAML2 e ho una domanda. Abbiamo un cliente che sta dicendo che vuole crittografare i dati dell'utente che ci stanno inviando. Ecco una panoramica di come ho implementato questo oggi:
L'utente accede al proprio sito Intranet e fa clic su un collegamento alla nostra azienda. Utilizzano PingFederate Single Sign-On (SSO) per generare la richiesta SAML2. Mandano il nome utente nella sezione Subject.NameId . Quando riceviamo la richiesta SAML2, decifriamo le informazioni inviate utilizzando il loro certificato.
Il cambiamento che vogliono è crittografare la sezione usando la nostra chiave e decifreremo questa sezione dalla nostra parte. Questo viene utilizzato solo per un processo SSO unilaterale e non è necessario inviare nulla a loro.
Volevo solo raggiungere e vedere se questo è il modo corretto di fare SAML2 o no. Il modo in cui l'ho impostato è che guardo la richiesta SAML2 in arrivo e determini quale certificato utilizzare sul nostro server e utilizzi ciò che il cliente ci ha dato. Un'altra cosa che ha detto è che il modo in cui abbiamo implementato questo non è in realtà SAML2.