Зачем мне нужно предоставлять сертификат с SP для единого входа, когда сертификат включен в подписанный ответ SAML?

Question

Мне просто интересно, когда вы используете SOML SSO с Salesforce. Я понимаю, что я загрузил сертификат на сторону SP (т. Е. Salesforce), однако я могу видеть, когда мы отправляем подписанный ответ SAML, в который уже входит сертификат.

Почему сертификат поделился раньше времени с SP?

Answer 1

Все дело в установлении доверия между системами. Если вы не дадите SFDC ваш сертификат раньше времени, как они могут доверять сообщению, которое вы отправляете, на самом деле от вашего IDP? Без вашего сертификата раньше времени они могут подтвердить, что сообщение нетронутым, но не тем, кто его создал. Когда вы включаете свой открытый ключ в ответ SAML, они могут проверить, что он тот же, который вы им поделили, и он тот же, который вы использовали для создания подписи.