single-sign-on - 是否有 IDP -> 到 IDP -> 身份验证之类的东西?(SAML2)
问题描述
有没有IDP到IDP认证这样的想法?
在我工作的地方,我们有这样的设置:
[客户IDP] <----> [工作SP]
-- 客户通过他们的门户获得身份验证
-- 客户端导航到我们的站点,因为我们设置为 sp 然后他们通过 saml2 对我们的站点进行身份验证
他们想要什么
[客户IDP] <----> [工作SP]
[工作IDP] <----> [VendorSP]
-- 客户通过他们的门户获得身份验证
-- 客户端导航到我们的站点,因为我们设置为 sp 然后他们通过 saml2 对我们的站点进行身份验证
-- 客户通过站点导航到供应商并通过 Work IDP 进行身份验证。
如果一切都通过一个 IDP 进行,这将很容易。
我被要求做的事情甚至可能吗?我从未听说过像 IPD 到 IDP 通信这样的事情。这就像使用您的 Apple 帐户登录 Google 一样。
如果有人有一些见解或建议,我将不胜感激!
解决方案
我所知道的每个流行的 SAML 工具,无论是商业的还是其他的,通常都可以充当服务提供者和身份提供者。那里的一些工具可以在本地充当联邦“中心”。使用您提供的“名称”,该模型看起来像这样:
Client IdP --> SP|Work|IdP --> Vendor SP
与完成 Client IdP 到 Work SP 事务的产品相比,支持 hub 概念的产品的“特殊调味料”是产品通过其自身的另一个断言作为单一流来管理身份属性的转发,将其交给某个外部机制,该机制转而启动从 Work IdP 到 Vendor SP 的新联合,结果如下所示:
Client IdP --> Work SP --> user service --> Work IdP --> Vendor SP
提供中心模型的产品通常可以支持供应商SP 发起的事务,这些事务一直返回到客户端 IdP,而无需任何用户交互,仅在工作中心发生重定向。我所看到的“用户服务”模型构建的方式是使用停靠或门户,用户在其中单击某些内容以启动第二个事务。
也就是说……只要你有一个“通用”的 SAML 产品,你当然可以达到你想要的最终状态,但是你可以使用的模型取决于你拥有的工具。
推荐阅读
- mongodb - Mongodb 1.5 and php 7.2 driver in xampp ubuntu
- django-models - Django REST Framework: slug or serializer
- .net-core - Run dotnet core console app after publish
- reactjs - react-router-hash-link doesn't work if coming from a different route
- validation - form:errors are not displaying errors on JSP in Spring
- java - Why I can't declare an array and then assign value in this fashion?
- c - 如何将 4 列文本文件读入 C 中的两个 char 数组?
- vbulletin - htaccess Photoplog rewrite url
- javascript - v.context.$implicit.(PropertyName) 不是函数
- angularjs - 找不到未禁用的可见字段 nil