SAML署名交換はIDPとSPの間でどのように機能しますか?
SAMLプロトコル2.0(署名済み)交換を理解しようとしています。
これが私がこれまでに理解したことです:
- IDPには独自のパブリック(
PB1)とプライベート(PV1)のペアがあります - SPには独自のパブリック(
PB2)とプライベート(PV2)のペアがあります
IDPがデータに署名する必要がある場合は、秘密鍵PV1を使用して署名します。次に、SPは、IDP/KeyInfoのメタデータを介してSPにアクセスできる公開鍵PB1を使用してそれを検証できます。
同様に、SPがデータに署名する必要がある場合は、独自の秘密鍵PV2を使用して署名します。IDPは、公開鍵PB2を使用して署名データを検証できます。 SP/KeyInfoのメタデータ。
私の理解は正しいですか?
これは正しいです。これは署名の検証を行う方法の1つであり、私が知る限り、最も一般的な方法です。
エンティティの署名に、検証に使用するパブリック証明書を署名済みXMLで添付することもできます。次に、これは、証明書が信頼できるCAによって署名されていることを確認するなど、他の手段によって証明書が検証されることを前提としています。