点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)大家好, 我们面临的挑战是...
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)大家好, 我们面临的挑战是...
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,
我们面临的挑战是我们的中央公司SAML2 IDP的签名证书将被续签。 自从我们开始将SAML2用于我们的SAP系统环境以来,这是第一次。
SAML2服务提供者配置通常会将IDP的签名证书保留在其配置中,以便能够验证IDP信息的真实性。 现在,在更改IDP证书的确切时间点上,对于所有(也许是40个?)服务提供商,如果不进行完全同步的配置更改,我们如何能在更新中幸免? 不幸的是,我找不到有关此过程的任何信息。
这可能会有所帮助:我们的IDP签名证书已(将要)由我们的CA签名。
到目前为止我们发现的内容:
AS ABAP: 我们相信,可以通过将RootCA和SubCA的证书导入" SSF SAML2服务提供商-S" PSE的证书列表来解决此问题。 。 我们对系统执行了此操作,并删除了旧的IDP证书,并且SAML2仍在工作。 我们以此表示,只要新的IDP证书也由同一CA签署,我们就可以幸免于IDP更改。
此假设是否正确?
AS JAVA: 我们猜测我们可以通过将RootCA和SubCA的证书导入到SAML2密钥存储视图中,以与AS ABAP类似的方式解决此问题 。 我们需要验证。
这是正确的方法吗? 我们需要注意哪些细节?
SCP身份验证服务(IAS): 。"企业IDP配置"部分中只有一个唯一的签名证书。
是否可以通过IAS进行无故障转换? 如果可以,那么如何?
非常感谢!
干杯,卢茨
嘿Lutz,
通常,每个IdP和SP都应具有添加主要和辅助签名证书的选项。 如果无法使用主SP验证签名,它将使用辅助签名证书重新尝试进行验证。 更多
使用PKI签名的签名证书很少,但可以。 我相信,由于成功进行了链验证,SP可能没有像使用自签名证书时那样直接导入IDP签名证书。 不幸的是,我不能肯定地说,但这是"应该"做的。 如果SCP IAS(代理)不支持辅助签名证书,那么这对您没有帮助,但是也许还有一个密钥库可以上传CA链,并且具有与其他SP相同的效果? 我希望能有所帮助。 干杯Carsten
一周热门 更多>