Настройка клиентов Keycloak, открыт закрытый ключ SAML

Question

Настройка клиентов Keycloak, открыт закрытый ключ SAML

Я знаю, что в протоколе SAML, IDP и SP они имеют свою собственную пару ключей и не будут открывать свои закрытые ключи друг другу.

Я предполагаю, что ключом области является пара ключей IDP, которая имеет смысл, потому что закрытый ключ не доступен.

Но когда я включаю "Client Signature Required" в настройках клиента, генерируется ключ SAML и раскрывается закрытый ключ? Это означает, что IDP знает закрытый ключ, который будет использоваться в приложении SP.

Это не имеет смысла, должно быть, я что-то не так понял. Может кто-нибудь помочь уточнить?

6

keycloak saml saml-2.0 redhat-sso

Источник

user1542363 18 апр '18 в 02:42

1 ответ

Решение

Другие вопросы по тегам keycloak saml saml-2.0 redhat-sso

user1542363 07 июн '18 в 03:56 2018-06-07 03:56 · Accepted Answer · 2018-06-07 03:56

Хорошо, я думаю, что должен знать ответ.

Моя мысль верна, ключ SAML клиента используется для подписи запроса SAML, а ключ области используется для подписи ответа SAML.

Закрытый ключ SAML клиента должен храниться на стороне приложения клиента, причина, по которой keycloak хранит его, заключается в том, что keycloak обеспечивает функцию "установки", что упрощает загрузку конфигурации адаптера.

Если закрытый ключ не хранится в keycloak, то пользователь должен сам ввести значение ключа, тогда это НЕ может быть таким удобным.