SAML 2 IdP-是否应该为每个服务提供商创建不同的证书?
我有一个站点充当单点登录的身份提供者(IdP),另有2个服务提供者使用SAML 2对其进行身份验证。目前,两个服务提供商都使用相同的证书来验证来自IdP的SAML响应。
我现在很快就有第三家服务提供商加入了,我想知道我是否真的应该向每一方颁发单独的证书,以便我们可以在不影响其他服务提供商的情况下,在需要的情况下潜在地撤销他们的访问权?其他人采取了什么方法,为什么?
我使用SimpleSamlPHP作为IdP。
共有2个答案
这方面的问题是,证书信息位于发送给SP的IDP元数据中,元数据通常只允许一个任务有一个证书(可以是不同的任务,例如签名和加密)。
通过另一种方式返回,例如签署SP授权请求,所有SP都可以有不同的证书,也可以共享。
某些产品(如汇总3之前的ADFS 2.0)不允许SP共享证书。
据我所知,您想要的是能够撤销一个SP(而不是所有SP)的SSO访问。
我认为这不应该通过撤销证书来完成,而是通过从SimpleSamlPHP中删除元数据来完成。
-
对于我目前的项目,我正在制作一张表格,让我能够跟踪我的D 现在,我可以分别为每个单元格进行适当的数据验证。在我的ref tables表中,我有一个部分,它将获取字符类值,并将所有“subclass”选项放入一行。然后,我可以使用特定单元格中的数据验证来获取子类行。这是可行的,但对每个单元格来说都很乏味。 我想放在范围部分的公式是 它用适当的列追加行号,这样每一行都会自动获得自己的子类行(例如:Re
-
这是一个简单的场景: 用户从Web应用程序的网页触发一些操作。这个操作很重,需要更多的时间。 在操作在服务器端完成之前,用户触发器会用一些不同的参数表示相同的操作。因此,第二个请求的第二个操作也将开始处理。 在这种情况下,是否有两个不同的线程,比如第一个线程处理第一个请求,另一个线程处理第二个请求?或者它只是一个线程处理两个请求,第一个操作只是为了执行第二个请求而被中断(未完成)? 在这里,我不想
-
云原生计算基金会(CNCF)负责维护并整合Kubernetes和Prometheus之类的开源技术,今天它在开源峰会上宣布了22多家Kubernetes认证服务提供商(KCSP)的创始成员名单。KCSP是通过初审的企业组织,它们在帮助企业成功地采用Kubernetes方面有着丰富经验。此外,专业人员个人现在可以注册报名新的认证Kubernetes管理员(CKA)计划和考试。 KCSP的创始成员包括
-
我正在我的服务中添加SSO功能,以允许客户使用他们的广告帐户登录。为此,我使用componentpro中的SAML组件。com执行安全交互的正确方法是什么: < li >从IdP方面:除了IdP url,客户还应该向我的服务提供什么?任何只包含公钥的证书? < li >从服务提供商的角度:我应该向客户提供什么? < li >选择的SAML工具使用证书对发送给IdP的SAML请求进行签名,并对来自I
-
是否可以在3个不同的云提供商上使用SaaS、IaaS和PaaS的单一服务,并将它们连接在一起?例如,我的公司需要为其员工提供Microsoft云软件,为其服务器提供IBM Baremetal,为其IT部门提供Github PaaS,以帮助开发后端/脚本。微软软件、IBM Baremetal和Github只是他们可以选择另一家云提供商的例子。我知道我的问题有点毫无意义,但这有可能吗?
-
我在中为来自同一