当前位置: 首页 > 知识库问答 >
问题:

为什么在设置基于SAML的SSO时需要IdP证书指纹

祁飞飙
2023-03-14

共有1个答案

龚奕
2023-03-14

指纹在发送方和接收方之间进行带外交换,并配置在接收端。它使用发送方用来对其发送的SAML消息签名的公钥唯一地标识证书。

然后,证书本身可以作为SAML消息本身的一部分在带内发送。接收者将该证书的指纹与存储的指纹进行比较,以确认在用该密钥对SAML消息进行加密验证之前,正在处理适当的发送者和相关的密钥。

这样做的好处是,事先只需要在带外交换一个小消息。例如,当通过电话线读出时,这可能是有用的,但有缺点,即完整的证书需要与每个消息一起发送(嗯,原则上至少是第一个消息...)它增加了每个消息的大小。

 类似资料:
  • 根据我的理解,您使用CA的私钥来签署CSR,但为什么所有openssl CSR签名命令在签署CSR时都需要指定CA证书,如下所示: openssl x509-req-days 360-输入server.csr-ca ca.crt-cakey ca.key-cacreateSerial-out server.crt

  • 我已经使用Spring SAML扩展成功实现了SSO身份验证。我们的主要要求是在应用程序中支持IDP启动的SSO。好的,通过使用spring-security-saml2-sample中的配置,即使SP启动的SSO流也适用于我们。 问题:密钥库是否用于IDP启动的SSO(如果元数据具有证书)?如果没有使用,我希望从securityContext中去掉密钥库配置。xml。 注意:我们不需要SP启动的

  • 我使用SPRING SAML实现并充当SP(例如:ALPHA)。我能够执行SP启动的SSO,并能够使用IDP对用户进行身份验证。此实现中没有问题。 但在我的应用程序中,我需要访问另一个与同一IDP链接的SP(例如:BETA)url。ALPHA和BETA服务提供商都受到同一IDP的信任。在这种情况下,在通过SP INIT SSO使用IDP对用户进行ALPHA身份验证后,当BETA SP URL发生重

  • 我正在尝试将openam配置为身份提供程序以测试我的基于SAML的服务提供程序应用程序。 我搜索了很多,看到了openam的文档。openam支持很多东西,我现在可能不需要这些东西。我不希望阅读整个文档,因为这将花费大量时间阅读我现在不想测试的内容。我甚至在网站上看到了chatpet 9“管理SAML 2.0 SSO”http://docs.forgerock.org/en/openam/10.0

  • Webapp #1 有一个指向 webapp #2 的按钮。当我们的用户单击该按钮时,他们应该被重定向到webapp #2,并自动登录。 集成是 SAML,因此 webapp #1(IDP)向 webapp #2(SP)发送 SAML“请求”,该请求返回重定向 URL,webapp #1 重定向到它。 SP给了我一个HTTP POST的URL,一个通过“电子邮件”属性识别用户的断言,所以我产生了这

  • 我已经使用Spring SAML扩展实现了SSO解决方案,现在我想测试IDP启动的SSO 请任何人给我关于IDP的Spring SAML扩展的IDP启动SSO的URL。SSO循环。通用域名格式