1

是否需要签署 SAML 令牌?根据架构,似乎不需要签名元素。

代替签署 SAML 令牌,我们需要客户端证书(双向 SSL)来验证消费者是受信任的消费者。这是一个可行的选择吗?

4

2 回答 2

3

这取决于您使用的是什么 Binding 以及您的用例是什么。例如,如果您谈论的是工件解析协议,那么 SOAP 绑定不需要签名的 SAML 响应。但是,HTTP Post Binding(Web SSO 配置文件)始终需要签名。

SOAP 绑定允许相互 TLS 身份验证,但对于 Web SSO 配置文件根本不实用。

因此,这实际上取决于您的用例是什么,因为每个配置文件/绑定都有自己的要求。

于 2010-07-15T13:01:09.443 回答
0

HTTP Post Binding(Web SSO 配置文件)始终需要签名。它是大多数 IdP 中的可配置选项。例如 SAP Netweaver IdP。

于 2013-02-07T09:17:31.053 回答