Почему Keystore необходим при использовании единого входа (SAMLv2)

Question

я использую окта как мой IDP и у меня есть 2 случая использования:

1. IDP инициированного SSO
2. , когда пользователь хочет войти в системе, используя свой окт учетных данных моя система, я перенаправляю его на okta, и okta посылает ответ на обратный вызов в моем приложении.

Мне было интересно, почему мне нужно хранилище ключей? как он используется? Сообщения для IDP из SP (моего приложения) будут зашифрованы с использованием этой ключевой пары ключей? И если так, разве это не значит, что мне нужно каким-то образом поделиться своими ключами с октой? Я не мог найти объяснений по этому поводу.

Применить помощь на этом! Спасибо!

Answer 1

SAML Ответы, посланные из SAML поставщика удостоверений («IdP»), как окт будут подписан с использованием октом в закрытых ключ, эти сообщений будет проверяться с помощью SAML Service Provider («ИП»), как ваши с использованием соответствующего открытого ключа .

В вашем случае хранилище ключей должно использоваться только для открытого ключа Okta (или открытых ключей, если вы объединяете более одного Okta org). Вам не нужно будет делиться любыми ключами с Okta, но вам нужно будет как можно скорее получить открытый ключ от Okta. Лучший способ получить открытый ключ от Okta - через URL-адрес метаданных IdP, следующим лучшим способом было бы, чтобы администратор Okta каким-то образом вложил в него открытый ключ Okta X.509.