SAML 2 IdP - следует ли создать другой сертификат для каждого поставщика услуг?

Question

У меня есть сайт, выступающий в качестве поставщика удостоверений (IdP) для единого входа и еще 2 поставщика услуг, которые аутентифицируются против него с использованием SAML 2. На данный момент оба поставщика услуг используют один и тот же сертификат для проверки ответа SAML от IdP.

В настоящее время у меня есть третий поставщик услуг, и я задался вопросом, должен ли я действительно выдавать отдельные сертификаты каждой стороне, чтобы мы могли потенциально отменить их доступ, если это необходимо, без ущерба для других поставщиков услуг? Какой подход привлекают другие и почему?

Я использую SimpleSamlPHP как IdP.

Answer 1

Проблема заключается в том, что информация о сертификате находится в метаданных IDP, которые отправляются в SP, и метаданные обычно разрешают только один сертификат для одной задачи (могут быть разные задачи, например, для подписания и шифрования).

Возвращение в другую сторону, например. подписывая запрос SP Authn, все SP могут иметь разные cetificates или могут делиться.

Некоторые изделия, например. ADFS 2.0 до того, как Rollup 3 не разрешит SP предоставлять сертификаты.

Answer 2

Как я понимаю, вы хотите, чтобы иметь возможность отменить доступ к SSO для одного SP, но не для всех.

Я думаю, что это не должно делаться путем отзыва сертификатов, а путем удаления метаданных из SimpleSamlPHP.