使用SAML 2.0的自签名证书

Question

是否可以使用自签名证书对SAML 2.0帖子进行签名？我负责与使用SAML 2.0的供应商实现新的SSO过程，我们试图确定是否可以使用自签名证书签署SAML帖子，或者是否需要购买一个。

如果我们可以使用自签名证书，服务提供商是否需要执行其他步骤来验证签名？我们正在创建SAML 2.0帖子作为身份提供者。

提前谢谢。

Answer 1

是的，我假设您是指对通过POST绑定返回的断言进行签名(参见SAML 2.0 Profiles，第4.1.4.5节)。SAML 2.0规范要求对其进行SSO签名，但没有详细说明CA签名与自签名的区别。

请检查您的软件( IdP和SP端)以了解支持的内容-某些软件在这方面存在限制。

Answer 2

SAML规范实际上建议您使用寿命长的自签名证书。有关更多信息，请参阅this document