ADFS 2.0计算每个X.509证书的封装和值
我对所有这些安全特性都很陌生,最近我被要求研究ADFS2.0。我发现ADFS使用以下类型的X.509证书与依赖方(RP)通信:
- 所有RPs通用: 1)服务通信2)令牌签名3)令牌解密
- 特定于RP: 4)加密证书
请帮我找出在实际生产场景中哪一个是真正重要的和需要的,这三个部分都涉及到:用户、服务提供商(我们的公司)、IdP(在客户服务器上)。
1)我对MS中的第一个证书的发现是:“这是联邦服务器作为Internet信息服务(IIS)中的SSL证书使用的同一证书”,我不确定这是真的,因为我能够单独替换它们,不影响彼此,因此它们肯定可以并行运行。所以不知道这个证书是干什么用的。
2)第二种方法是注册已发布的令牌,以便RP能够确保令牌确实是由受信任的ADFS发出的,而不是被截获的,对吗?
3)第三种可能是为了相反的目的: ADFS确保消息确实来自受信任的RP。
4)针对特定RP的加密证书有助于对整个消息(令牌)进行加密,因此即使您获得https公钥并从ADFS截取消息,也不能读取它没有其他本应只对RP知道的公钥,对吗?
如果我错了请纠正我。
所有这些证书都是可选的,Micorosoft对其重要性只字不提,我在WIF中唯一提到的就是在现实生活中最好使用令牌加密证书。问题是我们已经为ADFS通信建立了HTTPS协议(IIS被设置为在双方都使用https )。对于安全通信来说,这还不够吗?我想知道:我们真的需要2,3,甚至4)吗?
回答 2
Stack Overflow用户
发布于 2011-12-23 04:53:50
在现实生活中,至少有两个:
1.)SSL证书--这是现在的常识,也是SAML2.0SSO概要文件推荐的。这可能是与IIS相同的证书,后者是ADFS的前端。
2.)令牌签名/验证(不是“解密”)证书--必须符合使用“前端通道绑定”(HTTP /POST)的SAML2.0配置文件。如果您是身份提供者(IdP),那么您将拥有私有签名密钥--如果不是,只需要证书(w公共验证密钥)。实际上,这是为了验证断言是由可信方发出的,而不是被篡改的。这是绝对关键的联邦,否则任何人都可以伪造他们的方式进入您的环境(如SP (RP))。
实际上,加密证书将用于加密SAML消息的某些部分--如果您试图隐藏可能通过用户浏览器传递的信息(比如SAML断言的属性语句中的敏感属性),这是很常见的。
Stack Overflow用户
发布于 2011-12-24 07:06:25
1和2是强制性的。
如果不是https连接,ADFS将不允许通过导入元数据添加RP绑定。
索赔的定义是“关于一个主题的声明;例如,由一个主题或另一个主题生成的名称、标识、密钥、组、权限或功能。索赔被赋予一个或多个值,然后打包成安全令牌服务(STS)发出的安全令牌”。为了确保令牌的有效性,需要对其进行签名。
令牌本身是否加密取决于安全性要求。
https://stackoverflow.com/questions/8610387
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号