saml - когда используется сертификат HOK по сравнению с сертификатами IDP и SP

Я пытаюсь понять протокол SAML 2 и в этом процессе немного заблудился с бизнесом подписи и сертификата.

В принципе, я не понимаю, когда используется каждый из сертификатов.

  1. Метаданные поставщика услуг и метаданные поставщика удостоверений - нужно ли нам создавать сертификаты / ключи как часть метаданных SP и IDP? Если да, то как / когда будут использоваться эти сертификаты?

  2. Токену HOK также нужен сертификат - когда это появится? Нужно ли экспортировать сертификат / открытый ключ принципала в IDP вместе с сертификатом SP?

  3. При использовании токенов-носителей (у них нет сертификатов, связанных с принципалом) подписан ли ответ / утверждение SAML? В этом случае он отличается от ds: keyInfo в ответе SAML?

Большое спасибо за помощь !!


certificate saml saml-2.0
person user3001942    schedule 17.11.2013    source источник

Ответы (1)


arrow_upward
2
arrow_downward

1. Сертификаты в метаданных SP и IDP обычно используются для двух целей: цифровой подписи и цифрового шифрования. Атрибут «использование» в метаданных делает различение. Сертификаты обычно включаются в метаданные, но они также могут быть опущены и предоставлены вне диапазона (например, путем прямой настройки в IDP и SP, если поддерживается). Эти ключи идентифицируют машины SP и IDP, они не имеют ничего общего с пользователями.

Когда SP отправляет сообщение SAML IDP, сообщение может быть подписано цифровой подписью с использованием закрытого ключа SP (чей открытый ключ + сертификат включены в метаданные SP и доступны для IDP), IDP может проверить подпись SP, используя открытый ключ SP.

Когда SP хочет зашифровать часть данных SAML (все сообщение, утверждение, идентификатор имени, атрибут, ...), он использует открытый ключ, объявленный в метаданных IDP, затем IDP расшифровывает данные, используя свой закрытый ключ.

Иногда метаданные могут содержать несколько ключей подписи или шифрования, например в случае пролонгации сертификата до истечения срока его действия.

2. Механизмы переноса используются, чтобы убедиться, что объекту (например, веб-браузеру), который представляет сообщение SAML, разрешено это делать. В SAML WebSSO сообщение AuthnResponse выдается IDP, но доставляется браузером SP. HoK SubjectConfiguration сообщает, что мы идентифицируем презентатора, убедившись, что он может доказать владение закрытым ключом, открытый ключ / сертификат которого включен в элемент SubjectConfirmation. Обычно это делается с помощью аутентификации клиента SSL / TLS (т.е. пользователь устанавливает закрытый ключ в браузере и использует его для аутентификации в службе SAML при открытии схемы HTTPS с SSL / TLS).

Итак, здесь мы имеем дело с ключами, выданными непосредственно пользователям, а не службам SP / IDP. Независимо от того, нужно ли вам импортировать сертификат (ы) пользователя в IDP или нет, зависит от реализации IDP.

3. Да, сообщения будут по-прежнему подписаны (если настроены), и информация о ключах в ответе SAML будет одинаковой в обоих случаях.

Здравствуйте, Владимир Шафер

person Vladimír Schäfer    schedule 12.04.2014