¿Debería cada proveedor de identidad de SAML proporcionar un certificado público único al proveedor de servicios?

2

Al aceptar claves públicas de alguien que configura un proveedor de identidades para acceder a los recursos protegidos por un proveedor de servicios mediante SAML 2.0, ¿es absolutamente necesario tener un certificado único? ¿Está esto cubierto en las especificaciones SAML?

Si no lo hacen, asumo que el uso de certificados como capa de defensa se anula. Un ejemplo podría ser alguien que configura un IdP de prueba y reutiliza el certificado para la producción.

    
pregunta Dave 08.04.2014 - 17:33
fuente

2 respuestas

1

No se especifica que los certificados para dos idps deben ser únicos. Por lo que sé, ni siquiera tienes que tener un certificado. Pero es recomendable.

    
respondido por el Stefan Rasmusson 08.04.2014 - 18:05
fuente
1

Para ampliar la respuesta de Stefan:

También me aseguraría de que el certificado utilizado para la firma sea diferente del que se usó para el cifrado, así como del certificado que el TLS (espero no esté utilizando SSL) para asegurar el canal de comunicaciones.

En otras palabras ... Un certificado único para cada cosa.

    
respondido por el Andrew K. 09.04.2014 - 13:00
fuente

Lea otras preguntas en las etiquetas