我们有工作的 ADFS 2016 服务器,有超过 100 个客户作为索赔提供者信任。现在我需要加入当地政府的 SAML2 系统,这是许多政府机构的通用解决方案。它与我们的 ADFS 设置兼容,除非它们要求(没有任何正当理由)我们使用特殊的政府签名证书作为令牌签名(可能还有加密)证书。现有客户超过 100 个,这些客户并非全部从我们的元数据自动更新,我不想在我们发布的元数据中更改我们当前的令牌签名/加密证书。
有没有办法在 ADFS 服务器中处理这种情况?
我可以将此政府令牌签名证书作为第二个证书安装到 ADFS 服务器并使其不在我们的元数据中发布吗?
第二个证书应该仅用于某些选定的声明提供者信任,以便 ADFS 服务器默认使用我们当前的证书,但使用政府证书从链接到政府 SAML2 系统的选定声明提供者信任登录?
还是完全不同的 ADFS 服务器是我们唯一的选择?
谢谢。