IDP инициировал SSO

из документации PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

в этом случае пользователь входит в систему IdP и пытается получить доступ к ресурсу на удаленном сервере SP. Утверждение SAML передается в SP через HTTP POST.

Обработка:

1. пользователь вошел в систему вынужденный переселенец.
2. пользователь запрашивает доступ к защищенному ресурсу SP. Пользователь не вошел на сайт SP.
3. при необходимости IdP извлекает атрибуты из хранилища пользовательских данных.
4. служба SSO IdP возвращает в браузер HTML-форму с ответом SAML, содержащим утверждение аутентификации и любые дополнительные атрибуты. Браузер автоматически отправляет HTML-форму обратно в SP.

SP инициировано SSO

из документации PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

в этом случае пользователь пытается получить доступ к защищенному ресурсу непосредственно на веб-узле SP без входа в систему. У пользователя нет учетной записи на сайте SP, но есть Федеративная учетная запись, управляемая сторонним IdP. СП направляет запрос на проверку подлинности на МВУ. Как запрос, так и возвращенный SAML утверждения отправляются через браузер пользователя через HTTP POST.

Обработка:

1. пользователь запрашивает доступ к защищенному ресурсу SP. Запрос перенаправляется на сервер Федерации для обработки проверки подлинности.
2. сервер Федерации отправляет HTML-форму обратно в браузер с запросом SAML для аутентификации от IdP. HTML-форма автоматически отправляется в службу SSO IdP.
3. если пользователь еще не войдите на сайт IdP или, если требуется повторная аутентификация, IdP запрашивает учетные данные (например, ID и пароль), и пользователь входит в систему.

4. дополнительная информация о пользователе может быть получена из хранилища пользовательских данных для включения в ответ SAML. (Эти атрибуты предопределены как часть соглашения о федерации между IdP и SP)

5. служба SSO IdP возвращает HTML-форму в браузер с ответом SAML содержит утверждение проверки подлинности и любые дополнительные атрибуты. Браузер автоматически отправляет HTML-форму обратно в SP. Примечание: спецификации SAML требуют, чтобы ответы на сообщения были подписаны цифровой подписью.

6. (не показано) если подпись и утверждение действительны, SP устанавливает сеанс для пользователя и перенаправляет браузер на целевой ресурс.

SP инициировал SSO

Билл пользователь: "Эй, Джимми, покажи мне этот отчет"

Билл пользователь: "Привет, я Билл. Вот мои верительные грамоты."

Боб ВПЛ: "Привет, Билл. Похоже, вы проверяете из."

Боб ВПЛ: "Эй, Джимми. Этот парень Билл проверяет и вот некоторые дополнительные сведения о нем. Делай отсюда все, что хочешь."

Джимми СП: "Ок, круто. Похоже, Билл тоже в нашем списке известных гостей. Я впущу Билла."

IdP инициировал SSO

Билл пользователь: "Эй, Боб. Я хочу поехать к Джимми. Там усилена охрана."

Боб ВПЛ: "Эй, Джимми. Я доверяю Биллу. Он проверил и вот дополнительная информация о нем. Делай отсюда все, что хочешь."

Джимми СП: "Ок, круто. Похоже, Билл тоже в нашем списке известных гостей. Я впущу Билла."