Вот часть метаданных SP.SAML 2.0 SP метаданные: Цель и использование сертификата
Ссылка: Metadata for the OASIS Security Assertion Markup Language (SAML) V2.0
...
<md:KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
<md:KeyDescriptor use="encryption">
<ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:X509Data>
<ds:X509Certificate>
</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</md:KeyDescriptor>
...
Есть ли какие-либо преимущества для выбора такой же (или иной) сертификат как подписи и шифрования сертификата?
В чем заключается цель включения сертификата подписи здесь?
Если сообщение отправлено через https, предоставляется шифрование транспортного уровня. Нужно ли здесь включать сертификат шифрования?
Это не совсем точный. Сертификат подписи используется IdP. Но сертификаты шифрования предоставляются доверяющими сторонами, а IdP использует открытый ключ общедоступного сертификата RP для шифрования данных. При подписании - это предотвращение несанкционированного доступа, шифрование - убедиться, что ни один другой RP не сможет использовать тот же самый токен. И это иногда имеет смысл, например, когда разные токены выдаются различным RP. Существует один сертификат из IdP и возможные дополнительные множественные сертификаты от RP. –
Сертификаты подписи используются как IDP, так и SP, а не только IDP. Кроме того, сертификаты шифрования могут использоваться как IDP, так и SP - SP могут отправлять сообщение SAML (например, AuthnRequest) в IDP и использовать сертификат шифрования, определенный в его метаданных, для его шифрования, а IDP может отправлять зашифрованные сообщения в SP. Шифрование используется для обеспечения конфиденциальности сообщений, его основная цель заключается не в том, чтобы запретить использование токенов другими SP. У SAML есть другие методы предотвращения доставки сообщений SAML непредвиденным получателям, такие как поля «Аудитория» и «Место назначения». –
Правда, правда. Тем не менее, ваши «провайдеры обычно используют одну и ту же пару ключей сертификатов для подписи и шифрования» все еще беспокоят меня. В этом предложении отсутствуют точные «ответы на подпись и шифрование запросов» (поскольку подписание и шифрование ответов с одним и тем же ключом не имеет смысла). –