Как мне реализовать привязку протокола HTTP POST для профиля SAML WebSSO?

Я реализовал своего поставщика услуг и поставщика идентификации в соответствии с профилем SAML для веб-единого входа с использованием привязки протокола HTTP POST. Однако меня немного смущает то, как поставщик удостоверений будет предоставлять , если HTTP POST, исходящий от поставщика услуг, не привязан к сеансу на поставщике удостоверений.

Может кто-нибудь просветите меня, как можно это сделать?

Другой подход, который я мог бы использовать, - это привязка перенаправления HTTP, но это требует вмешательства User-Agent (то есть браузера), часто использующего User-Agent просто как промежуточного посредника для облегчения обмена сообщениями Request-Response. По этой причине я бы предпочел использовать HTTP POST, потому что обмен сообщениями происходит на стороне сервера, поэтому пользователь ничего не видит на своем экране.

Однако использование HTTP Redirect имеет для меня больше смысла с точки зрения того, как я смогу связать сеанс с запросом. Поскольку перенаправление HTTP осуществляется через User-Agent, запрос к IdP будет иметь сеанс (если ранее был аутентифицирован). Чего я не понимаю, так это того, как отправить по HTTP Redirect. Ответил JST

Так что я немного запутался и хотел бы услышать что делают другие люди. И снова мои вопросы:

1. Используя привязку протокола HTTP POST с параметром IsPassive , параметром , как связать запрос, сделанный поставщиком услуг, с сеансом на поставщике удостоверений? Другими словами, как поставщик удостоверений узнает, кто делает запрос, если POST поступает от поставщика услуг, который технически является анонимным сеансом?
2. Используя привязку протокола перенаправления HTTP, как отправить < AuthnRequest> провайдеру удостоверений, если я использую перенаправление HTTP? Ответ JST

ОБНОВЛЕНИЕ

Извините за путаницу, если я был неясен в моем объяснении выше. Я реализую как IdP, так и SP (через плагин). IdP - это существующее приложение, для которого я хочу, чтобы SP (сторонняя система) использовала для аутентификации (например, Web SSO). В данный момент я разрабатываю простой PoC. SP на самом деле является сторонним приложением Spring, для которого я разрабатываю плагин для выполнения операций SAML.

Я должен был упомянуть, что я пытаюсь сделать это с помощью параметра IsPassive , что означает User-Agent не участвует во время обмена сообщениями. Это просто катализатор, с которого начинается SAML-party. Правильно? Имея это в виду, учитывая, что пользователь является анонимным на шаге 1, что SP отправляет IdP, чтобы позволить IdP выяснить, аутентифицирован ли пользователь уже? Из-за IsPassive HTTP POST не отправляется через User-Agent

UPDATE

Вопрос 1, исправленный : по личности предоставить каким-либо образом за пределами этого профиля.

На самом деле мне нужно объяснение, как реализовать некоторые средства .