1

SalesforceでSAMLSSOを実装しているときに、証明書をSP側(つまりSalesforce)にアップロードしたことに気付きましたが、署名されたSAML応答を送信すると、すでに証明書が含まれていることがわかります。

証明書が事前にSPと共有されるのはなぜですか?

4

1 に答える 1

2

システム間の信頼を確立することがすべてです。事前に SFDC に証明書を渡さない場合、送信しているメッセージが実際に IDP から送信されたものであると、SFDC はどのように信頼できるでしょうか? 事前に証明書がなければ、メッセージが無傷であることを検証できますが、実際に誰が生成したかは検証できません。SAML 応答に公開鍵を含めると、公開鍵が共有鍵と同じであること、および署名の生成に使用したものと同じであることを確認できます。

于 2012-06-29T14:18:57.770 に答える