SAML 2 IdP - 您應該爲每個服務提供商創建不同的證書嗎？

Question

我有一個站點充當單點登錄的身份提供商（IdP），另外兩個服務提供商使用SAML 2對其進行身份驗證。目前，兩個服務提供商都使用相同的證書來驗證SAML響應IdP。

我現在已經有了第三方服務提供商加入，我想知道我是否真的應該向每一方發放單獨的證書，以便我們可能在不影響其他服務提供商的情況下撤銷其訪問權限（如果需要）？其他人採取了什麼方法，爲什麼？

我使用SimpleSamlPHP作爲IdP。

Answer 1

問題在於證書信息位於發送給SP的IDP元數據中，元數據通常只允許一個任務使用一個證書（可以是不同的任務，例如簽名和加密）。

以其他方式回顧例如簽署SP Authn請求，所有SP都可以有不同的認證，也可以共享。

某些產品例如彙總3之前的ADFS 2.0不允許SP共享證書。

Answer 2

據我所知，你想要的是能夠撤銷一個SP的SSO訪問，但不是全部。

我認爲這不應該通過撤銷證書來完成，而是從SimpleSamlPHP中刪除元數據。