IdP 不断更改签名 x509
IdP keep changing signing x509
我遇到一个问题,由于 IdP 签名证书不断变化,基于 SAML 的 SSO link 失败。
我(作为 SP)有一个基于 IdP 的联合元数据的配置,它有两个签名证书 (X509)。事情按预期进行。
几周后,由于 IdP 返回带有不同签名证书的 SAML 响应,SSO link 被破坏。我检查了它的元数据,是的,不同的签名证书。
我如何实现我的目标(作为 SP)我的 SAML 请求包括 IdP 使用的 x509?
另外,IdP 不断更改歌唱证书是否很常见?我以前从未遇到过这个问题,并且我有一些基于相同策略的 SSO 集成:元数据交换。是否可以在 IdP 上进行配置,以便不更改证书?
- IdP 是 Azure AD。
- 我(作为 SP)正在使用 OneLogin PHP 工具包。
- 我的应用已配置 as non gallery application。
您采用的方法 - 配置非库应用程序使您可以完全控制 SAML 集成。随着您的完全控制,您也将承担全部责任。
针对您的问题:
is it common practice for IdP to constantly change singing
certificates?
是的,这是常见的好做法。好吧,不是每两周一次,但最多一年。
回到您更改后的签名证书。 link that used in your original question (this one) has an explicit section about certificate. The section is called Review certificate expiration data, status, and email notification. This explains about the certificates. If you continue to read through the same section you will end up seeing another reference: Manage certificates for federated single sign-on in Azure Active Directory,您可以在其中找到有关 IdP 端证书管理的更多信息。
我遇到一个问题,由于 IdP 签名证书不断变化,基于 SAML 的 SSO link 失败。
我(作为 SP)有一个基于 IdP 的联合元数据的配置,它有两个签名证书 (X509)。事情按预期进行。
几周后,由于 IdP 返回带有不同签名证书的 SAML 响应,SSO link 被破坏。我检查了它的元数据,是的,不同的签名证书。
我如何实现我的目标(作为 SP)我的 SAML 请求包括 IdP 使用的 x509?
另外,IdP 不断更改歌唱证书是否很常见?我以前从未遇到过这个问题,并且我有一些基于相同策略的 SSO 集成:元数据交换。是否可以在 IdP 上进行配置,以便不更改证书?
- IdP 是 Azure AD。
- 我(作为 SP)正在使用 OneLogin PHP 工具包。
- 我的应用已配置 as non gallery application。
您采用的方法 - 配置非库应用程序使您可以完全控制 SAML 集成。随着您的完全控制,您也将承担全部责任。 针对您的问题:
is it common practice for IdP to constantly change singing certificates?
是的,这是常见的好做法。好吧,不是每两周一次,但最多一年。
回到您更改后的签名证书。 link that used in your original question (this one) has an explicit section about certificate. The section is called Review certificate expiration data, status, and email notification. This explains about the certificates. If you continue to read through the same section you will end up seeing another reference: Manage certificates for federated single sign-on in Azure Active Directory,您可以在其中找到有关 IdP 端证书管理的更多信息。