是否需要签署SAML令牌?看起来根据模式不需要签名元素。
代替签署SAML令牌,我们需要客户端证书(双向SSL)来验证消费者是否是受信任的消费者。这是一个可行的选择吗?
答案 0 :(得分:2)
这取决于您使用的绑定以及您的用例。如果您正在讨论工件解析协议,则SOAP绑定不需要签名的SAML响应。但是,HTTP Post Binding(Web SSO配置文件)始终需要签名。
SOAP绑定允许相互TLS身份验证,但它对Web SSO配置文件根本不实用。
因此,它实际上取决于您的用例,因为每个Profile / Binding都有自己的要求。
答案 1 :(得分:0)
HTTP Post Binding(Web SSO配置文件)始终需要签名。它是大多数IdP中的可配置选项。例如SAP Netweaver IdP。