saml -何时使用HOK证书与IDP和SP证书

Question

我正在尝试理解SAML 2协议，在这个过程中，签名和证书业务使我有点不知所措。

基本上，我不清楚何时使用每一个证书。

1. 服务提供者元数据和身份提供者元数据-我们需要生成证书/密钥作为SP和IDP元数据的一部分吗？如果是这样，如何/何时使用这些证书？
2. HOK令牌还需要一个证书-什么时候会出现？主体的证书/公钥是否也需要通过SP的证书导出给IDP？
3. 当使用承载令牌(它们没有与主体关联的任何证书)时，SAML响应/断言是否仍然被签名？在这种情况下，它与SAML响应中的ds:keyInfo不同吗？

谢谢你的帮助！！

Answer 1

1. SP和IDP元数据中的证书通常用于数字签名和数字加密。对元数据的属性“使用”进行区分。证书通常包括在元数据中，但它们也可以是带外提供的(例如，通过IDP和SP中的直接配置(如果支持的话)。这些密钥识别SP和IDP机器，它们与用户无关。

当SP向IDP发送SAML消息时，可以使用SP的私钥(其公钥+证书包含在SP元数据中并可供IDP使用)对消息进行数字签名，IDP能够使用SP的公钥验证SP的签名。

当SP想加密部分SAML数据时(整个消息、断言、名称ID、属性、.)它使用IDP的元数据中声明的公钥，然后IDP使用其私钥解密数据。

有时元数据可以包含多个签名或加密密钥，例如，在过期前发生证书翻转的情况。

1. 承载机制用于确保正在呈现SAML消息的实体(例如，web浏览器)被允许这样做。在SAML中，WebSSO AuthnResponse消息由IDP发出，但通过浏览器传递给SP。HoK SubjectConfiguration告诉我们，我们正在标识演示者，方法是确保它能够证明私钥的存在，其公钥/证书包含在SubjectConfirmation元素中。这通常是通过使用SSL/TLS客户端身份验证来完成的(即用户在浏览器中安装私钥并在使用SSL/TLS打开HTTPS方案时使用它对SAML服务进行身份验证)。

因此，这里我们处理的是直接发给用户的密钥，而不是SP/IDP服务。是否需要将用户的证书导入到IDP是否是IDP-实现特定的。

1. 是的，在这两种情况下，消息仍然将被签名(当配置为是)，并且SAML响应中的KeyInfo将是相同的。

干杯，弗拉基米尔·谢弗