IDP инициировал SSO

из документации PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

в этом случае пользователь входит в IdP и пытается получить доступ к ресурсу на удаленном сервере SP. Утверждение SAML транспортируется в SP через HTTP POST.

Обработка:

1. пользователь вошел в систему вынужденный переселенец.
2. пользователь запрашивает доступ к защищенному ресурсу SP. Пользователь не вошел на сайт SP.
3. дополнительно IdP извлекает атрибуты из хранилища пользовательских данных.
4. служба SSO IdP возвращает браузеру HTML-форму с ответом SAML, содержащим утверждение аутентификации и любые дополнительные атрибуты. Браузер автоматически отправляет HTML-форму обратно в SP.

инициировано SP SSO

из документации PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

в этом случае пользователь пытается получить доступ к защищенному ресурсу непосредственно на веб-сайте SP без входа в систему. У пользователя нет учетной записи на сайте SP, но есть Федеративная учетная запись, управляемая сторонним IdP. SP отправляет запрос Аутентификации IdP. И запрос, и возвращенный SAML утверждения отправляются через браузер пользователя через HTTP POST.

Обработка:

1. пользователь запрашивает доступ к защищенному ресурсу SP. Запрос перенаправляется на сервер Федерации для обработки проверки подлинности.
2. сервер Федерации отправляет HTML-форму обратно в браузер с запросом SAML для аутентификации от IdP. Форма HTML автоматически разносится в службу SSO IdP.
3. если пользователь еще не войдите на сайт IdP или, если требуется повторная аутентификация, IdP запрашивает учетные данные (например, ID и пароль), и пользователь входит в систему.

4. дополнительная информация о пользователе может быть получена из хранилища пользовательских данных для включения в ответ SAML. (Эти атрибуты предопределены как часть соглашения о федерации между ВПЛ и ИП)

5. служба SSO IdP возвращает HTML-форму браузеру с ответом SAML содержит утверждение аутентификации и любые дополнительные атрибуты. Браузер автоматически отправляет HTML-форму обратно в SP. Примечание: спецификации SAML требуют, чтобы ответы POST были подписаны цифровой подписью.

6. (не показано) если подпись и утверждение действительны, SP устанавливает сеанс для пользователя и перенаправляет браузер на целевой ресурс.

SP инициировал SSO

Билл пользователь: "Эй, Джимми, покажи мне этот отчет"

Джимми СП: "Эй, я еще не уверен, кто ты. У нас здесь есть процесс, поэтому вы сначала проверитесь с Бобом-ВПЛ. Я доверяю ему."

Билл пользователь: "Привет, я Билл. Вот мои верительные грамоты."

Боб ВПЛ: "Привет, Билл. Похоже, ты проверяешь. из."

Боб ВПЛ: "Привет, Джимми. Этот парень Билл проверяет, и вот дополнительная информация о нем. Делай отсюда все, что хочешь."

Джимми СП: "Ок, круто. Похоже, Билл тоже в нашем списке известных гостей. Я впущу Билла."

IdP инициировал SSO

Билл пользователь: "Эй, Боб. Я хочу пойти к Джимми. Там строгая охрана."

Боб ВПЛ: "Привет, Джимми. Я доверяю Биллу. Он проверил и вот дополнительная информация о нем. Делай отсюда все, что хочешь."

Джимми СП: "Ок, круто. Похоже, Билл тоже в нашем списке известных гостей. Я впущу Билла."