Использование самозаверяющего сертификата для утверждения Saml 2

Question

Я работаю на стороне Idp SSO Saml 2 и в качестве IdP мы должны отправить утверждение в SP, и оно будет инициировано IdP. В утверждении с именем x509 указано поле. Мой первый вопрос заключается в том, что этот открытый открытый ключ или открытый ключ, подписанный центром сертификации (центром сертификации)? И мой второй вопрос заключается в том, что если это открытый ключ, подписанный ЦС, тогда было бы безопасно быть самоподписанным или лучше подписаться реальным ЦС? И мой третий вопрос заключается в том, что лучше ли мы предоставлять SP с метаданными Idp или более безопасно иметь сертификат в любом запросе на утверждение или, возможно, оба? Спасибо

Answer 1

Я предполагаю, что вы имеете в виду сертификат X.509, встроенный в подпись XML, содержащуюся в утверждении SAML. Если это так, это сертификат X.509, кодированный базой 64, который может использоваться для проверки подписи XML. Это необязательно, но обычно включается.

Вы должны использовать сертификат, выданный СА. У SP есть доверительные отношения с вашим IdP. Сертификат, выданный ЦС, гарантирует, что это ваш ИДФ, а не кто-то, кто подделывает вас, кто подписал и отправил утверждение SAML.

Обычно вы предоставляете SP ваши метаданные, содержащие ваш сертификат. SP будет использовать этот сертификат для проверки ваших подписей XML. Однако, как я уже сказал, нет никакого вреда, включая сертификат в XML-подписи, хотя это маловероятно, что это будет использоваться для фактической проверки подписи.