Различия между инициированными ССО и переселенцев, инициированный ССО
может ли кто-нибудь объяснить мне, в чем основные различия между SP инициировал SSO и IDP инициировал SSO есть, в том числе, что было бы лучшим решением для реализации единого входа в сочетании с Федерацией ADFS + OpenAM?
3 ответа:
в IDP Init SSO (Unsolicited Web SSO) процесс Федерации инициируется IDP, отправляющим незапрошенный ответ SAML на SP. В SP-Init SP генерирует AuthnRequest, который отправляется IDP в качестве первого шага в процессе Федерации, и IDP затем отвечает ответом SAML. IMHO ADFSv2 поддержка SAML2. 0 Web SSO SP-Init сильнее, чем его поддержка IDP-Init re: интеграция с сторонними продуктами Fed (в основном вращается вокруг поддержки RelayState), поэтому если у вас есть выбор, который вы хотите использовать SP-Init, поскольку это, вероятно, облегчит жизнь с ADFSv2.
вот несколько простых описаний SSO из руководства по началу работы PingFederate 8.0, которые вы можете просмотреть, что также может помочь -- https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html
IDP инициировал SSO
из документации PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
в этом случае пользователь входит в систему IdP и пытается получить доступ к ресурсу на удаленном сервере SP. Утверждение SAML передается в SP через HTTP POST.
Обработка:
- пользователь вошел в систему вынужденный переселенец.
- пользователь запрашивает доступ к защищенному ресурсу SP. Пользователь не вошел на сайт SP.
- при необходимости IdP извлекает атрибуты из хранилища пользовательских данных.
- служба SSO IdP возвращает в браузер HTML-форму с ответом SAML, содержащим утверждение аутентификации и любые дополнительные атрибуты. Браузер автоматически отправляет HTML-форму обратно в SP.
SP инициировано SSO
из документации PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST
в этом случае пользователь пытается получить доступ к защищенному ресурсу непосредственно на веб-узле SP без входа в систему. У пользователя нет учетной записи на сайте SP, но есть Федеративная учетная запись, управляемая сторонним IdP. СП направляет запрос на проверку подлинности на МВУ. Как запрос, так и возвращенный SAML утверждения отправляются через браузер пользователя через HTTP POST.
Обработка:
- пользователь запрашивает доступ к защищенному ресурсу SP. Запрос перенаправляется на сервер Федерации для обработки проверки подлинности.
- сервер Федерации отправляет HTML-форму обратно в браузер с запросом SAML для аутентификации от IdP. HTML-форма автоматически отправляется в службу SSO IdP.
- если пользователь еще не войдите на сайт IdP или, если требуется повторная аутентификация, IdP запрашивает учетные данные (например, ID и пароль), и пользователь входит в систему.
дополнительная информация о пользователе может быть получена из хранилища пользовательских данных для включения в ответ SAML. (Эти атрибуты предопределены как часть соглашения о федерации между IdP и SP)
служба SSO IdP возвращает HTML-форму в браузер с ответом SAML содержит утверждение проверки подлинности и любые дополнительные атрибуты. Браузер автоматически отправляет HTML-форму обратно в SP. Примечание: спецификации SAML требуют, чтобы ответы на сообщения были подписаны цифровой подписью.
(не показано) если подпись и утверждение действительны, SP устанавливает сеанс для пользователя и перенаправляет браузер на целевой ресурс.
SP инициировал SSO
Билл пользователь: "Эй, Джимми, покажи мне этот отчет"
Билл пользователь: "Привет, я Билл. Вот мои верительные грамоты."
Боб ВПЛ: "Привет, Билл. Похоже, вы проверяете из."
Боб ВПЛ: "Эй, Джимми. Этот парень Билл проверяет и вот некоторые дополнительные сведения о нем. Делай отсюда все, что хочешь."
Джимми СП: "Ок, круто. Похоже, Билл тоже в нашем списке известных гостей. Я впущу Билла."
IdP инициировал SSO
Билл пользователь: "Эй, Боб. Я хочу поехать к Джимми. Там усилена охрана."
Боб ВПЛ: "Эй, Джимми. Я доверяю Биллу. Он проверил и вот дополнительная информация о нем. Делай отсюда все, что хочешь."
Джимми СП: "Ок, круто. Похоже, Билл тоже в нашем списке известных гостей. Я впущу Билла."