我们作为SAML2服务提供商运营。几周前,我们的证书已过期,因此我们向客户提供了新的元数据。我们告诉他们他们必须将新数据上传到他们的Idp,因为否则SSO不再工作了,因为连接不再被视为可信任。
现在有一位客户告诉我们,他们没有交换新的元数据(他们已经存储了旧的元数据),但是连接仍然有效并且他们的员工能够登录。所以我的问题是:工作SAML2连接需要交换元数据吗?为什么它仍适用于旧元数据?
非常感谢您提前
答案 0 :(得分:0)
元数据XML用于轻松配置连接的两端,身份提供者和服务提供者。一旦他们进行了配置,就不再需要了。
例如,WSO2身份服务器没有办法生成或接受元数据文件,但它能够管理基于SAML的会话。 How to download or know the URL of WSO2 Identity Server's SAML metadata?
答案 1 :(得分:0)
如第一个答案所述,不需要交换元数据,这是一个选项。
请注意,由于您是服务提供商,因此您不需要(按规格)对您的邮件进行签名。 的另一种方式当然需要:IDP需要签署其消息。
所以你甚至确定你的消息是SP吗?即便如此,国内流离失所者的实施甚至可能无法处理(因为它是可选的)并忽略了签名。来自SP的证书翻转可能对这些情况没有任何影响。
这可以解释观察到的行为。