爲SAML服務提供商提供適當的安全性

Question

我正在向我的服務添加SSO功能，以允許客戶使用其AD帳戶登錄。爲了提供這種我使用componentpro.com SAML成分什麼是執行安全互動正確的方法：

1. 從側面的IdP：什麼都要客戶提供我的服務之外的IdP網址是什麼？任何只包含公鑰的證書？
2. SP方面：我應該向客戶提供什麼？
3. 選擇SAML工具使用證書將SAML請求籤署到IdP並解密來自IdP的斷言。什麼是證書（來自以前的問題）？這是簽名和解密相同的證書嗎？

更新：有用的link關於在SAML通信中使用證書。

Answer 1

1. Normaly此設置使用包含IDP端點SAML元數據文件，鑰匙等你的服務，然後發送類似的元數據文件與信息有關的服務到IDP

2. 如果客戶是IDP，然後如上所述，您通常會爲它們提供一個元數據文件。

3. 使用相同的密鑰進行簽名和加密通常是一個糟糕的主意。閱讀討論here和here