Различия между инициированным SP SSO и инициированным IDP SSO

может кто-нибудь объяснить мне, какие основные различия между SP инициировал SSO и IDP инициировал SSO есть, в том числе, что было бы лучшим решением для реализации единого входа в сочетании с Федерацией ADFS + OpenAM?

3 ответов


в IDP Init SSO (Незапрошенный веб-SSO) процесс Федерации инициируется IDP, отправляющим незапрошенный ответ SAML SP. В SP-Init SP генерирует AuthnRequest, который отправляется IDP в качестве первого шага в процессе Федерации, и IDP затем отвечает ответом SAML. Поддержка IMHO ADFSv2 для SAML2.0 Web SSO SP-Init сильнее, чем его поддержка IDP-Init re: интеграция с продуктами 3rd Party Fed (в основном вращается вокруг поддержки RelayState), поэтому, если у вас есть выбор, который вы захотите использовать SP-Init, поскольку это, вероятно, облегчит жизнь с ADFSv2.

вот некоторые простые описания SSO из руководства по началу работы PingFederate 8.0, которые вы можете просмотреть, что также может помочь -- https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html


IDP инициировал SSO

из документации PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

в этом случае пользователь входит в IdP и пытается получить доступ к ресурсу на удаленном сервере SP. Утверждение SAML транспортируется в SP через HTTP POST.

Обработка:

  1. пользователь вошел в систему вынужденный переселенец.
  2. пользователь запрашивает доступ к защищенному ресурсу SP. Пользователь не вошел на сайт SP.
  3. дополнительно IdP извлекает атрибуты из хранилища пользовательских данных.
  4. служба SSO IdP возвращает браузеру HTML-форму с ответом SAML, содержащим утверждение аутентификации и любые дополнительные атрибуты. Браузер автоматически отправляет HTML-форму обратно в SP.

инициировано SP SSO

из документации PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

в этом случае пользователь пытается получить доступ к защищенному ресурсу непосредственно на веб-сайте SP без входа в систему. У пользователя нет учетной записи на сайте SP, но есть Федеративная учетная запись, управляемая сторонним IdP. SP отправляет запрос Аутентификации IdP. И запрос, и возвращенный SAML утверждения отправляются через браузер пользователя через HTTP POST.

Обработка:

  1. пользователь запрашивает доступ к защищенному ресурсу SP. Запрос перенаправляется на сервер Федерации для обработки проверки подлинности.
  2. сервер Федерации отправляет HTML-форму обратно в браузер с запросом SAML для аутентификации от IdP. Форма HTML автоматически разносится в службу SSO IdP.
  3. если пользователь еще не войдите на сайт IdP или, если требуется повторная аутентификация, IdP запрашивает учетные данные (например, ID и пароль), и пользователь входит в систему.
  4. дополнительная информация о пользователе может быть получена из хранилища пользовательских данных для включения в ответ SAML. (Эти атрибуты предопределены как часть соглашения о федерации между ВПЛ и ИП)

  5. служба SSO IdP возвращает HTML-форму браузеру с ответом SAML содержит утверждение аутентификации и любые дополнительные атрибуты. Браузер автоматически отправляет HTML-форму обратно в SP. Примечание: спецификации SAML требуют, чтобы ответы POST были подписаны цифровой подписью.

  6. (не показано) если подпись и утверждение действительны, SP устанавливает сеанс для пользователя и перенаправляет браузер на целевой ресурс.


SP инициировал SSO

Билл пользователь: "Эй, Джимми, покажи мне этот отчет"

Джимми СП: "Эй, я еще не уверен, кто ты. У нас здесь есть процесс, поэтому вы сначала проверитесь с Бобом-ВПЛ. Я доверяю ему."

Билл пользователь: "Привет, я Билл. Вот мои верительные грамоты."

Боб ВПЛ: "Привет, Билл. Похоже, ты проверяешь. из."

Боб ВПЛ: "Привет, Джимми. Этот парень Билл проверяет, и вот дополнительная информация о нем. Делай отсюда все, что хочешь."

Джимми СП: "Ок, круто. Похоже, Билл тоже в нашем списке известных гостей. Я впущу Билла."

IdP инициировал SSO

Билл пользователь: "Эй, Боб. Я хочу пойти к Джимми. Там строгая охрана."

Боб ВПЛ: "Привет, Джимми. Я доверяю Биллу. Он проверил и вот дополнительная информация о нем. Делай отсюда все, что хочешь."

Джимми СП: "Ок, круто. Похоже, Билл тоже в нашем списке известных гостей. Я впущу Билла."