我有一个站点作为单点登录的身份提供者 (IdP) 和另外 2 个使用 SAML 2 对其进行身份验证的服务提供者。目前,两个服务提供者都使用相同的证书来验证来自 IdP 的 SAML 响应.
我现在很快就有第三个服务提供商加入,我想知道我是否真的应该向每一方颁发单独的证书,以便我们可以在需要时撤销他们的访问权限,而不会影响其他服务提供商?其他人采取了什么方法,为什么?
我使用 SimpleSamlPHP 作为 IdP。
我有一个站点作为单点登录的身份提供者 (IdP) 和另外 2 个使用 SAML 2 对其进行身份验证的服务提供者。目前,两个服务提供者都使用相同的证书来验证来自 IdP 的 SAML 响应.
我现在很快就有第三个服务提供商加入,我想知道我是否真的应该向每一方颁发单独的证书,以便我们可以在需要时撤销他们的访问权限,而不会影响其他服务提供商?其他人采取了什么方法,为什么?
我使用 SimpleSamlPHP 作为 IdP。
据我了解,您想要的是能够撤销一个 SP 但不是全部的 SSO 访问权限。
我认为这不应该通过吊销证书来完成,而是通过从 SimpleSamlPHP 中删除元数据来完成。
这样做的问题是证书信息在发送给 SP 的 IDP 元数据中,并且元数据通常只允许一个证书用于一项任务(可以是不同的任务,例如用于签名和加密)。
以另一种方式返回,例如签署 SP Authn 请求,所有 SP 可以具有不同的证书,或者它们可以共享。
某些产品(例如 Rollup 3 之前的 ADFS 2.0)不允许 SP 共享证书。