我有一个问题,基于SAML的SSO链接失败,因为IdP签名证书不断变化。
我(作为SP)具有基于IdP的联合元数据的配置,它具有两个签名证书(X509)。事情按预期工作。
几周之后,由于IdP正在返回具有不同签名证书的SAML响应,因此SSO链接被破坏。我知道它的元数据,是的,不同的签名证书。
如何实现我的SAML请求包含IdP使用的x509的结束(作为SP)?
同样,IdP不断改变唱歌证书的常见做法是什么?我之前从未遇到过这个问题,而且我基于相同的策略进行了少数几年的SSO集成:元数据的交换。是否可以在IdP配置以便不更改证书?
您采用的方法 - 配置非库应用程序使您可以完全控制SAML集成。完全掌控也是您的全部责任。对于你的问题:
IdP不断改变唱歌证书的常见做法是什么?
是的,这是常见的良好做法。好吧,不是每两周一次,而是最多一年。
回到您更改的签名证书。 link that used in your original question(this one)有一个关于证书的明确部分。该部分称为Review certificate expiration data, status, and email notification。这解释了证书。如果您继续阅读同一部分,您将最终看到另一个参考:Manage certificates for federated single sign-on in Azure Active Directory,您可以在其中找到有关IdP方面的证书管理的更多信息。