SSO（SAMLv2）を使用したときのキーストアが必要なのはなぜ

Question

私は私のIDPとしてOktaを使用して、私は2ユースケースを持っている：

1. IDP-開始SSO
2. ユーザーが自分のoktaの資格情報を使用してログインしたいです私のシステムでは、私は彼をoktaにリダイレクトし、oktaは私のアプリでコールバックに応答を送信します。

なぜ私はキーストアが必要なのでしょうか？どのように使用されていますか？ SP（my app）からのIDPへのメッセージは、このキーストアのキーペアを使用して暗号化されますか？もしそうなら、私は何とか私の鍵をoktaと共有する必要があるのではないのですか？ 私はこれに関する説明を見つけることができませんでした。

これについて助けてください！ ありがとう！ OktaのようなSAML アイデンティティ・プロバイダ（「のIdP」）から送られた

Answer 1

SAML応答がOktaの秘密鍵を使用して署名され、これらのメッセージは、あなたのようなSAML サービスプロバイダ（「SP」）によって検証されます対応する公開鍵を使用するアプリケーション。

あなたのケースでは、キーストアはOktaの公開鍵（または複数のOkta組織と連合している場合は公開鍵）にのみ使用する必要があります。 Oktaと鍵を共有する必要はありませんが、Oktaから公開鍵を取得する必要があります。 Oktaから公開鍵を取得する最良の方法は、IdPメタデータURLを使用することです.Okta管理者にOktaのX.509エンコードされた公開鍵を何らかの形で貼り付けることが一番良い方法です。