Ich habe ein Spring SAML-Projekt, das eine JKS mit dem öffentlichen Zertifikat des IDP geladen hat. Ich habe eine theoretische Frage:Spring SAML - Verwenden Sie CA Root Cert anstelle von Server öffentlichen Cert in JKS
Wenn ich in der ausstellenden Stamm- oder Zwischen-CA in die JKS laden würde, würde das ausreichen, um die IDP zu vertrauen und die IDP-SAML-Nachrichten zu validieren? Der Vorteil wäre, dass zukünftige IDPs mit einem gemeinsamen Aussteller vertrauenswürdig wären, ohne ihr Zertifikat einspielen zu müssen.
Mein Verständnis ist, dass das tatsächliche öffentliche Zertifikat des IDP im JDK sein muss, damit Spring SAML die Anfrage validieren kann, jedoch ist das X509 in der Anfrage nicht ausreichend dafür und es ist nur eine Frage von Bestätigen, dass das Zertifikat in den öffentlichen IDP-Metadaten von einem vertrauenswürdigen Aussteller stammt?
Ich bin ein bisschen über meinen Kopf mit diesem. Jede Einsicht oder Erklärung wird sehr geschätzt!