0

服务提供商 (ArcGIS Online) 向我提供了一个公钥证书,我想用它来加密从 Azure AD (IdP) 发送的断言。

我是否在 Single Sign On > SAML 签名证书下导入证书(使用 KeyDescriptor="encryption")

https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/certificate-signing-options

或在令牌加密下

https://docs.microsoft.com/en-us/azure/active-directory/manage-apps/howto-saml-token-encryption

SAML 签名证书页面有“加密断言”选项,但令牌加密的帮助页面表明这是导入证书以加密断言的地方。请说明可以导入证书的两个位置之间的区别。

4

1 回答 1

0

您将其添加到令牌加密中。

Azure AD 使用自己的证书对令牌进行签名。根据文章,有不同的方式来签署令牌。

你应该得到一个 .cer 文件。这是用于加密断言(即声明)的公钥。

SP(应用程序)使用私钥解密。

因此,令牌由 AAD 证书签名,但令牌内的断言由加密证书加密。

于 2022-01-25T05:33:24.173 回答