Я реализовал своего поставщика услуг и поставщика идентификации в соответствии с профилем SAML для веб-единого входа с использованием привязки протокола HTTP POST. Однако меня немного смущает то, как поставщик удостоверений будет предоставлять
, если HTTP POST, исходящий от поставщика услуг, не привязан к сеансу на поставщике удостоверений.
Может кто-нибудь просветите меня, как можно это сделать?
Другой подход, который я мог бы использовать, - это привязка перенаправления HTTP, но это требует вмешательства User-Agent (то есть браузера), часто использующего User-Agent просто как промежуточного посредника для облегчения обмена сообщениями Request-Response. По этой причине я бы предпочел использовать HTTP POST, потому что обмен сообщениями происходит на стороне сервера, поэтому пользователь ничего не видит на своем экране.
Однако использование HTTP Redirect имеет для меня больше смысла с точки зрения того, как я смогу связать сеанс с запросом. Поскольку перенаправление HTTP осуществляется через User-Agent, запрос к IdP будет иметь сеанс (если ранее был аутентифицирован). Чего я не понимаю, так это того, как отправить Ответил JST
по HTTP Redirect.
Так что я немного запутался и хотел бы услышать что делают другие люди. И снова мои вопросы:
IsPassive
, параметром
, как связать запрос, сделанный поставщиком услуг, с сеансом на поставщике удостоверений? Другими словами, как поставщик удостоверений узнает, кто делает запрос, если POST поступает от поставщика услуг, который технически является анонимным сеансом? < AuthnRequest>
провайдеру удостоверений, если я использую перенаправление HTTP? Извините за путаницу, если я был неясен в моем объяснении выше. Я реализую как IdP, так и SP (через плагин). IdP - это существующее приложение, для которого я хочу, чтобы SP (сторонняя система) использовала для аутентификации (например, Web SSO). В данный момент я разрабатываю простой PoC. SP на самом деле является сторонним приложением Spring, для которого я разрабатываю плагин для выполнения операций SAML.
Я должен был упомянуть, что я пытаюсь сделать это с помощью параметра IsPassive
, что означает User-Agent не участвует во время обмена сообщениями. Это просто катализатор, с которого начинается SAML-party. Правильно? Имея это в виду, учитывая, что пользователь является анонимным на шаге 1, что SP отправляет IdP, чтобы позволить IdP выяснить, аутентифицирован ли пользователь уже? Из-за IsPassive HTTP POST не отправляется через User-Agent
Вопрос 1, исправленный : по личности предоставить каким-либо образом за пределами этого профиля.
На самом деле мне нужно объяснение, как реализовать некоторые средства
.