...
- 証明書 : メタデータに使用する証明書ではBack-ChannelでSPからクライアント認証を受け付けるときに証明書のExtenededKeyUsageにclientAuth(TLS Web Client Authentication)なしの証明書が用いられる可能性を考慮して設定を行なうことを推奨します。具体的にはSP側の証明書に下記のような証明書を用いた場合にIdP側でSPのクライアント認証を受け付けずにエラーとする実装があるようです。 なしの証明書が用いられる可能性を考慮して設定を行なうことを推奨します。
具体的にはSP側の証明書に下記のような証明書を用いた場合にIdP側でSPのクライアント認証を受け付けずにエラーとする実装があるようです。書式設定済み $ openssl x509 -in sp-certificate.pem -noout -text | grep -A 1 'X509v3 Extended Key Usage:' X509v3 Extended Key Usage: TLS Web Server Authentication- clinetAuth(TLS Web Client Authentication) なし
- serverAuth(TLS Web Server Authentication) あり
...
- 証明書 : SAML 1およびSAML 2でBack-Channelを使用するSPでは、Back-Channel時にSPの証明書を用いてクライアント認証が行なわれることを想定して、ExtenedKeyUsageにclietAuth(TLS Web Client Authentication)を含めた証明書を用いることを推奨します。Backを含めた証明書を用いることを推奨します。
Back-Channelを用いた通信を行なうときに下記のような証明書を用いた場合にはSPのクライアント認証が受け付けられずにエラーとなる実装があるようです。書式設定済み $ openssl x509 -in sp-certificate.pem -noout -text | grep -A 1 'X509v3 Extended Key Usage:' X509v3 Extended Key Usage: TLS Web Server Authentication- clientAuth(TLS Web Client Authentication) なし
- serverAuth(TLS Web Server Authentication) あり
...