saml - кога се използва HOK сертификат спрямо IDP и SP сертификати

Опитвам се да разбера протокола SAML 2 и в този процес се изгубих малко с бизнеса с подписи и сертификати.

По принцип не ми е ясно кога се използва всеки от сертификатите.

  1. Мета данни на доставчика на услуги и метаданни на доставчика на самоличност – трябва ли да генерираме сертификати/ключове като част от метаданните на SP и IDP? Ако е така, как/кога ще се използват тези сертификати?

  2. Токенът HOK също се нуждае от сертификат - кога се появява това? Трябва ли сертификатът/публичният ключ на принципала да бъде експортиран към IDP също заедно със сертификата на SP?

  3. При използване на токени на носител (те нямат никакви сертификати, свързани с принципала) SAML отговорът/утвърждението все още ли е подписано? Различно ли е от ds:keyInfo в SAML отговора в този случай?

Благодаря много за помощта!!


certificate saml saml-2.0
person user3001942    schedule 17.11.2013    source източник

Отговори (1)


arrow_upward
2
arrow_downward

1. Сертификатите в SP и IDP метаданните обикновено се използват за две цели цифрово подписване и цифрово криптиране. Атрибутът "използване" на метаданните прави дискриминацията. Сертификатите обикновено са включени в метаданните, но те също могат да бъдат пропуснати и предоставени извън лентата (напр. чрез директна конфигурация в IDP и SP, ако се поддържа). Тези ключове идентифицират SP и IDP машините, те нямат нищо общо с потребителите.

Когато SP изпрати SAML съобщение до IDP, съобщението може да бъде цифрово подписано с помощта на частния ключ на SP (чийто публичен ключ + сертификат е включен в метаданните на SP и е достъпен за IDP), IDP може да провери подписа на SP с помощта на публичния ключ на SP.

Когато SP иска да шифрова част от SAML данните (цяло съобщение, твърдение, идентификатор на име, атрибут, ...), той използва публичен ключ, деклариран в метаданните на IDP, IDP след това дешифрира данните, използвайки своя личен ключ.

Понякога метаданните могат да съдържат множество ключове за подписване или криптиране, напр. в случай на преобръщане на сертификат преди изтичане.

2. Механизмите на носител се използват, за да се гарантира, че обектът (напр. уеб браузър), който представя SAML съобщение, има право да го направи. В SAML WebSSO AuthnResponse съобщението се издава от IDP, но се доставя на SP от браузъра. HoK SubjectConfiguration казва, че ние идентифицираме представящия, като се уверяваме, че може да докаже притежаването на частен ключ, чийто публичен ключ/сертификат е включен в елемента SubjectConfirmation. Това обикновено се прави чрез използване на SSL/TLS клиентско удостоверяване (т.е. потребителят инсталира частен ключ в браузъра и го използва за удостоверяване към SAML услуга при отваряне на HTTPS схемата с SSL/TLS).

Така че тук имаме работа с ключове, издадени директно на потребители, а не на услуги на SP/IDP. Независимо дали трябва да импортирате потребителски сертификат(и) към IDP или не, е специфично за внедряването на IDP.

3. Да, съобщенията все още ще бъдат подписани (когато са конфигурирани да бъдат) и KeyInfo в SAML отговора ще бъде еднакъв и в двата случая.

Наздраве, Владимир Шафер

person Vladimír Schäfer    schedule 12.04.2014