为SAML服务提供商提供适当的安全性

Question

我正在向我的服务添加SSO功能，以允许客户使用其AD帐户登录。为了提供这种我使用componentpro.com SAML成分什么是执行安全互动正确的方法：

1. 从侧面的IdP：什么都要客户提供我的服务之外的IdP网址是什么？任何只包含公钥的证书？
2. SP方面：我应该向客户提供什么？
3. 选择SAML工具使用证书将SAML请求签署到IdP并解密来自IdP的断言。什么是证书（来自以前的问题）？这是签名和解密相同的证书吗？

更新：有用的link关于在SAML通信中使用证书。

Answer 1

1. Normaly此设置使用包含IDP端点SAML元数据文件，钥匙等你的服务，然后发送类似的元数据文件与信息有关的服务到IDP

2. 如果客户是IDP，然后如上所述，您通常会为它们提供一个元数据文件。

3. 使用相同的密钥进行签名和加密通常是一个糟糕的主意。阅读讨论here和here