【发布时间】:2014-09-08 13:56:01
【问题描述】:
我通过将 ADFS 用作 身份提供者 (idp) 来实现具有 服务提供者 (SP) 的 SSO 机制。
SP 常规网站提供与 ADFS 的集成,因此在我的 ADFS 中将 SP 设置为依赖合作伙伴并为他们提供 令牌签名证书就足够了。
SP 的移动应用程序不提供与 ADFS 的集成,因此他们需要构建一个 Web 应用程序 (SSOApplication) 来桥接 SP 和之间的 SSO 机制ADFS。 SP 将请求重定向到 SSOApplication,SSOApplication 在后台使用 SAML 查询 ADFS,然后,如果身份验证通过,则将响应发送给 SP。
SSOApplication 与 ADFS 正确通信,但我无法为 SP 签署 SAML 响应,因为在令牌签名证书中,与 SSL 证书相反,没有导出私钥的选项(尽管 MS声称有可能here)。 SP 要求 Web 和移动应用程序入口点使用相同的证书,因此我不能使用两个不同的令牌签名证书。
此外,与我的 ADFS 通信的其他 SP 也使用此证书,因此如果我更改证书,我必须将新证书传达给与我们的 ADFS 集成的其他 SP。有没有办法从签名令牌证书中导出私钥?有没有办法为 ADFS 中的不同实体使用不同的令牌签名证书?
PS:在 ADFS 中,我可以导出 SSL 证书的密钥,但令牌签名没有相同的选项。
【问题讨论】:
标签: saml-2.0 private-key signing adfs2.0