SAML: التواصل بين مقدمي الخدمات؟
https://stackoverflow.com/questions/4013280
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لقد تم تكليفه بكتابة SP (مزود خدمة) لـ SAML V2.0 في ASP.NET ، وأتساءل ما يلي ؛
إذا قام المستخدم بتسجيل الدخول على SP الرئيسي للخدمة (حيث يصبح متاح SP الخاص بي للمستخدم كمرساة/رابط ، ما لم يتم وضع إشارة مرجعية مسبقًا) ، ثم يطلب الوصول إلى SP الخاص بي ، كيف يمكنني التعامل مع تسجيل الدخول الخاص بهم؟
سيكونون قد قاموا بتسجيل الدخول وتصولهم من قبل IDP على SP الرئيسي ، ولكن كيف سيخبر هذا sp الخاص بي أن المستخدم قد تم تسجيل الدخول؟ هل سيتعين علي إرسال طلب ترخيص جديد إلى IDP لتحديد ما إذا كان المستخدم قد تم تسجيل الدخول أم أنه ينبغي تمريره كبيانات نشر/إعادة توجيه باستخدام سلسلة استعلام من SP؟
لقد قرأت محة فنية وكذلك الأساسيات, ، لكنها لا تغطي هذا الجزء.
سأتصل بـ SP الرئيسي وأسأل عن كيفية المتابعة ، لكنني أردت تغطية قواعداتي أولاً ومعرفة ما إذا كانت هناك طريقة قياسية حول كيفية التعامل مع هذا الموقف.
المحلول
أسهل شيء يجب القيام به هو إنشاء "Main SP" على إنشاء الرابط بحيث يتم بدء تشغيل IDP-Init SSO للمستخدمين لتسجيل الدخول إلى التطبيق الخاص بك. لذلك سيظهر المستخدم مع تأكيد جديد من IDP (عميل) إلى SP.
يمكنك أيضًا ربطهم مباشرة بموقعك لاستدعاء SP-Init SSO لمزود الهوية المعطى/العميل.
في كلتا الحالتين ، ستتطلب منك القيام بذلك للتعامل مع حالات الاستخدام المتعددة وخيارات SAML 2.0. يمكنك الحصول على هذا الأمر وتشغيله في وقت قصير إذا كنت ترغب في مراجعة برنامج SaaS Partner الذي تقدمه Ping Identity. www.pingidentity.com
اسمحوا لي أن أعرف إذا كنت ترغب في مزيد من المعلومات حول ما رأيناه الآخر
نصائح أخرى
من أجل القيام بـ SSO المصاب بـ SP ، تحتاج إلى أن يكون هناك مزود هوية واحد فقط قد تحتاجه لإرسال طلبات المصادقة ، أو تحتاج إلى بعض الوسائل لتحديد مزود الهوية المناسب لمستخدم معين- يحتاج إلى توفير بعض معلومات التعريف IDP (مثل StackOverFlow عندما تريد تسجيل الدخول باستخدام Google أو معرف آخر) أو قد يكون هناك شيء مضمن في عنوان URL. (للتطبيق الذي أعمل عليه ، لدى العملاء المختلفين نطاقات المواقع الخاصة بهم ، لذلك يتم تعيين IDPs لتلك.)
لذا ، نعم ، إذا كنت ستذهب إلى المسار المصاب بـ SP ، فستحتاج إلى تقديم طلب مصادقة إلى IDP لتحديد من هو المستخدم ، وستحتاج إلى استخدام RelayState لاستعادتها إلى المقدمة في الأصل صفحة. إذا تمت مصادقةها بالفعل في IDP ، فمن المحتمل أن يحدث هذا التبادل دون الحاجة إلى أي مدخلات من المستخدم.
