我们正在实施SSO作为服务提供商,多个客户可以使用我们的应用程序配置他们的元数据xml和证书。我已经成功地将我们的应用程序与spring SAML扩展集成。但我想知道IDP提供的证书有什么用途,因为应用程序没有证书也可以正常工作。
如果他知道你的网址和发行人,每个人都可以为你的SP创建一个SAML响应。通过使用IdP证书检查签名,您可以证明该消息来自正确的来源,而不是来自坏人。
我认为spring-saml在你的密钥库或idp-metadata-xml中没有IDP证书时不起作用。但是你可以跳过的是签署元数据(以检查是否未被操纵)或SSL / TLS加密(以确保运输)与证书。