是否需要签署 SAML 令牌?根据架构,似乎不需要签名元素。
代替签署 SAML 令牌,我们需要客户端证书(双向 SSL)来验证消费者是受信任的消费者。这是一个可行的选择吗?
这取决于您使用的是什么 Binding 以及您的用例是什么。例如,如果您谈论的是工件解析协议,那么 SOAP 绑定不需要签名的 SAML 响应。但是,HTTP Post Binding(Web SSO 配置文件)始终需要签名。
SOAP 绑定允许相互 TLS 身份验证,但对于 Web SSO 配置文件根本不实用。
因此,这实际上取决于您的用例是什么,因为每个配置文件/绑定都有自己的要求。
HTTP Post Binding(Web SSO 配置文件)始终需要签名。它是大多数 IdP 中的可配置选项。例如 SAP Netweaver IdP。