bất cứ ai có thể giải thích cho tôi những gì khác biệt chính giữa SP khởi xướng SSO và IDP khởi xướng SSO là, kể cả đó sẽ là giải pháp tốt hơn để thực hiện các dấu hiệu duy nhất trên kết hợp với ADFS + Liên đoàn OpenAM?Sự khác nhau giữa SP khởi xướng SSO và IDP khởi xướng SSO
Trong IDP Init SSO (SSO không mong muốn) Quá trình liên kết được khởi tạo bởi IDP gửi một phản hồi SAML không mong muốn tới SP. Trong SP-Init, SP tạo ra một AuthnRequest được gửi đến IDP như là bước đầu tiên trong quá trình Liên kết và IDP sau đó phản ứng với một đáp ứng SAML. IMHO ADFSv2 hỗ trợ cho SAML2.0 Web SSO SP-Init mạnh hơn hỗ trợ IDP-Init của nó: tích hợp với các sản phẩm Fed của bên thứ 3 (chủ yếu xoay quanh hỗ trợ cho RelayState) vì vậy nếu bạn có lựa chọn, bạn sẽ muốn sử dụng SP- Init vì nó có thể làm cho cuộc sống dễ dàng hơn với ADFSv2.
Dưới đây là một số giới thiệu SSO đơn giản từ Hướng dẫn PingFederate 8.0 Bắt đầu mà bạn có thể poke thông qua đó có thể giúp cũng - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html
IDP khởi xướng SSO
Từ tài liệu PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
Trong trường hợp này, người dùng đã đăng nhập vào IdP và cố gắng truy cập tài nguyên trên máy chủ SP từ xa. Xác nhận SAML được chuyển đến SP thông qua HTTP POST.
Processing bước:
SP khởi xướng SSO
Từ tài liệu PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST
Trong kịch bản này người dùng cố gắng truy cập vào một tài nguyên được bảo vệ trực tiếp trên một trang web SP mà không bị đăng nhập. Người dùng không có tài khoản trên trang SP, nhưng có tài khoản được liên kết do IdP bên thứ ba quản lý. SP gửi yêu cầu xác thực tới IdP. Cả yêu cầu và xác nhận SAML được trả về đều được gửi qua trình duyệt của người dùng qua HTTP POST.
Processing bước:
Thông tin bổ sung về người dùng có thể được truy xuất từ kho dữ liệu người dùng để đưa vào phản hồi SAML. (Các thuộc tính này được xác định trước như một phần của thỏa thuận liên kết giữa IdP và SP)
Dịch vụ SSO của IdP trả về biểu mẫu HTML có xác nhận xác thực và bất kỳ thuộc tính bổ sung nào. Trình duyệt sẽ tự động đăng biểu mẫu HTML trở lại SP. LƯU Ý: Thông số kỹ thuật SAML yêu cầu trả lời POST phải được ký điện tử.
(Không được hiển thị) Nếu chữ ký và xác nhận hợp lệ, SP thiết lập phiên cho người dùng và chuyển hướng trình duyệt đến tài nguyên đích.
Tái khởi tạo SPO - điểm 3 ở trên nói "Nếu người dùng chưa đăng nhập vào trang IdP hoặc nếu yêu cầu xác thực lại, IDP yêu cầu thông tin xác thực (ví dụ: ID và mật khẩu) và người dùng đăng nhập. " Làm cách nào để hệ thống xác định liệu người dùng có đăng nhập vào trang web IdP không? Ví dụ: nó có tạo ra một cookie không? – Edwardo
@Edwardo Giả định của bạn là chính xác. Khi một phiên được thiết lập với một IdP, thường thì IdP tạo một cookie để duy trì phiên đó. – jekennedy
Tôi có một câu hỏi khác http://stackoverflow.com/questions/43861315/how-to-maintain-state-parameter-in-identity-provider-idp-initiated-saml-sso. Bạn có thể xem nó không? – kawadhiya21
SP: "Này, bạn biết Sal?"
IdP: "?! Tôi có ... Oh đúng rồi Yeah, tôi biết Sal"
SP: ". Ok mát mẻ Tôi sẽ cho cô trong"
IdP: "Này Sal nói với tôi bạn biết cô ấy"
SP: ". Tôi ... Oh yeah Tôi Tôi sẽ cho cô trong"
Tôi không nghĩ rằng cuộc trò chuyện thứ hai là đúng .... thay vào đó nó phải là: IdP: "Này, đây là một số thông tin về Sal, xin vui lòng cho cô ấy trong"/SP: "Ok, tôi tin tưởng bạn, tôi sẽ cho cô ấy trong " –
cuộc hội thoại đầu tiên cũng không đúng: trong bước đầu tiên SP không biết bất kỳ điều gì về người dùng nào, chỉ ở IdP người dùng sẽ đăng nhập và tự xác định là" Sal " – Allie
Cuộc hội thoại đầu tiên nên là: SP: "Này, ID của bạn đâu rồi?" IdP: "Chờ đã, tôi sẽ kiểm tra nó. Hãy để tôi xem ID của bạn. Ok bro cho cô ấy vào, cô ấy tên là Sal và cô ấy 21 (tùy chọn)" SP: "Anh chàng tuyệt vời, tuyệt vời của bạn! ! " –
ok Cảm ơn .... :) – pbhle