saml-2.0 - 为什么 ITfoxtec.Identity.Saml2 中存在 SigningCertificateFile

Question

在 MVC 的示例代码中，使用了 itfoxtec.identity.saml2.testwebapp_Certificate.pfx：

https://github.com/ITfoxtec/ITfoxtec.Identity.Saml2/blob/master/test/TestWebApp/App_Data/itfoxtec.identity.saml2.testwebapp_Certificate.pfx

在这部分：

https://github.com/ITfoxtec/ITfoxtec.Identity.Saml2/blob/10cba6a1a8be236046b9caab0651eba9002b55ee/test/TestWebApp/App_Start/IdentityConfig.cs#L29

但我不明白我为什么需要这个，因为已经有 IdP 的证书，如果有某种方法我不使用它。

Answer 1

IdP 证书用于authn response从 IdP 签署（SAML 2.0 令牌）。

SAML 2.0 标准规定像 TestWebApp 这样的 rp（依赖方）需要签署logout request. TestWebApp 示例应用程序使用itfoxtec.identity.saml2.testwebapp_Certificate.pfx证书对请求进行签名。

rp 不需要签名login request，因此itfoxtec.identity.saml2.testwebapp_Certificate.pfx如果 rp 只登录而不注销，则不需要证书。