Warum Schlüsselspeicher benötigt wird, bei der Verwendung von SSO (SAMLv2)

Question

ich Okta als meine IDP verwenden und ich habe 2 Anwendungsfälle:

1. IDP-initiierte SSO
2. , wenn ein Benutzer möchte seine okta Zugangsdaten zum Login verwenden zu Mein System, ich leite ihn nach Okta um und okta sende die Antwort an einen Rückruf in meiner App.

Ich fragte mich, warum ich den Keystore brauche? wie wird es benutzt? Die Nachrichten an den IDP vom SP (meine App) werden mit diesem Keystore-Schlüsselpaar verschlüsselt? Und wenn ja, bedeutet das nicht, dass ich meine Schlüssel irgendwie mit Okta teilen muss? Ich konnte dazu keine Erklärung finden.

Bitte helfen Sie dabei! Danke!

Answer 1

SAML Antworten von einem SAML Identity Provider gesendet ("IdP") wie Okta wird mit privaten Schlüsseln, diese Nachrichten von Okta unterzeichnet werden wird von einem SAML Service Provider überprüft werden ("SP"), wie Ihre Anwendung mit dem entsprechenden öffentlichen Schlüssel .

In Ihrem Fall sollte der Schlüsselspeicher nur für den öffentlichen Schlüssel von Okta verwendet werden (oder öffentliche Schlüssel, wenn Sie mit mehr als einer Okta-Organisation zusammenarbeiten). Sie müssen keine Schlüssel mit Okta teilen, aber Sie müssen den öffentlichen Schlüssel von Okta irgendwie bekommen. Der beste Weg, den öffentlichen Schlüssel von Okta zu erhalten, wäre eine IdP-Metadaten-URL. Der nächstbeste Weg wäre, den Okta-Verwalter Oktes X.509-kodierten öffentlichen Schlüssel irgendwie in Ihre App einzufügen.