1. Сертификатите в SP и IDP метаданните обикновено се използват за две цели цифрово подписване и цифрово криптиране. Атрибутът "използване" на метаданните прави дискриминацията. Сертификатите обикновено са включени в метаданните, но те също могат да бъдат пропуснати и предоставени извън лентата (напр. чрез директна конфигурация в IDP и SP, ако се поддържа). Тези ключове идентифицират SP и IDP машините, те нямат нищо общо с потребителите.
Когато SP изпрати SAML съобщение до IDP, съобщението може да бъде цифрово подписано с помощта на частния ключ на SP (чийто публичен ключ + сертификат е включен в метаданните на SP и е достъпен за IDP), IDP може да провери подписа на SP с помощта на публичния ключ на SP.
Когато SP иска да шифрова част от SAML данните (цяло съобщение, твърдение, идентификатор на име, атрибут, ...), той използва публичен ключ, деклариран в метаданните на IDP, IDP след това дешифрира данните, използвайки своя личен ключ.
Понякога метаданните могат да съдържат множество ключове за подписване или криптиране, напр. в случай на преобръщане на сертификат преди изтичане.
2. Механизмите на носител се използват, за да се гарантира, че обектът (напр. уеб браузър), който представя SAML съобщение, има право да го направи. В SAML WebSSO AuthnResponse съобщението се издава от IDP, но се доставя на SP от браузъра. HoK SubjectConfiguration казва, че ние идентифицираме представящия, като се уверяваме, че може да докаже притежаването на частен ключ, чийто публичен ключ/сертификат е включен в елемента SubjectConfirmation. Това обикновено се прави чрез използване на SSL/TLS клиентско удостоверяване (т.е. потребителят инсталира частен ключ в браузъра и го използва за удостоверяване към SAML услуга при отваряне на HTTPS схемата с SSL/TLS).
Така че тук имаме работа с ключове, издадени директно на потребители, а не на услуги на SP/IDP. Независимо дали трябва да импортирате потребителски сертификат(и) към IDP или не, е специфично за внедряването на IDP.
3. Да, съобщенията все още ще бъдат подписани (когато са конфигурирани да бъдат) и KeyInfo в SAML отговора ще бъде еднакъв и в двата случая.
Наздраве, Владимир Шафер
person
Vladimír Schäfer
schedule
12.04.2014