2020-08-23 20:04发布
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)大家好, 我们面临的挑战是... 显示全部
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,
我们面临的挑战是我们的中央公司SAML2 IDP的签名证书将被续签。 自从我们开始将SAML2用于我们的SAP系统环境以来,这是第一次。
SAML2服务提供者配置通常会将IDP的签名证书保留在其配置中,以便能够验证IDP信息的真实性。 现在,在更改IDP证书的确切时间点上,对于所有(也许是40个?)服务提供商,如果不进行完全同步的配置更改,我们如何能在更新中幸免? 不幸的是,我找不到有关此过程的任何信息。
这可能会有所帮助:我们的IDP签名证书已(将要)由我们的CA签名。
到目前为止我们发现的内容:
AS ABAP: 我们相信,可以通过将RootCA和SubCA的证书导入" SSF SAML2服务提供商-S" PSE的证书列表来解决此问题。 。 我们对系统执行了此操作,并删除了旧的IDP证书,并且SAML2仍在工作。 我们以此表示,只要新的IDP证书也由同一CA签署,我们就可以幸免于IDP更改。 此假设是否正确?
AS JAVA: 我们猜测我们可以通过将RootCA和SubCA的证书导入到SAML2密钥存储视图中,以与AS ABAP类似的方式解决此问题 。 我们需要验证。 这是正确的方法吗? 我们需要注意哪些细节?
SCP身份验证服务(IAS): 。"企业IDP配置"部分中只有一个唯一的签名证书。 是否可以通过IAS进行无故障转换? 如果可以,那么如何?
非常感谢!
干杯,卢茨
嘿Lutz,
通常,每个IdP和SP都应具有添加主要和辅助签名证书的选项。 如果无法使用主SP验证签名,它将使用辅助签名证书重新尝试进行验证。 更多
使用PKI签名的签名证书很少,但可以。 我相信,由于成功进行了链验证,SP可能没有像使用自签名证书时那样直接导入IDP签名证书。 不幸的是,我不能肯定地说,但这是"应该"做的。 如果SCP IAS(代理)不支持辅助签名证书,那么这对您没有帮助,但是也许还有一个密钥库可以上传CA链,并且具有与其他SP相同的效果? 我希望能有所帮助。 干杯Carsten
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 十字路口无法择 的问题《SAML2 IDP的签名证书更新-如何生存?》','https://www.easysap.com/answer/28201/79635.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
嘿Lutz,
通常,每个IdP和SP都应具有添加主要和辅助签名证书的选项。 如果无法使用主SP验证签名,它将使用辅助签名证书重新尝试进行验证。 更多
使用PKI签名的签名证书很少,但可以。 我相信,由于成功进行了链验证,SP可能没有像使用自签名证书时那样直接导入IDP签名证书。 不幸的是,我不能肯定地说,但这是"应该"做的。 如果SCP IAS(代理)不支持辅助签名证书,那么这对您没有帮助,但是也许还有一个密钥库可以上传CA链,并且具有与其他SP相同的效果? 我希望能有所帮助。 干杯Carsten
一周热门 更多>