SAML: Kommunikation zwischen Service-Provider?

Question

Ich habe mit dem Schreiben einen SP (Service Provider) für SAML v2.0 in ASP.NET damit beauftragt worden, und ich frage mich, die folgenden;

Wenn sich ein Benutzer anmeldet auf der Haupt SP für einen Dienst (wo mein SP für einen Benutzer zugänglich wird als Anker / link, es sei denn, die zuvor vorgemerkt), und fordert dann den Zugriff auf meine SP, wie soll ich ihr Login umgehen?

werden haben Sie angemeldet und werden sie von der IdP an der Haupt SP berechtigt, aber wie wird das SP meines SP sagen, dass der Benutzer angemeldet ist? Muß ich eine neue Autorisierungsanforderung an den IdP zu senden, um festzustellen, ob der Benutzer angemeldet ist oder sollte es mit einem Query-String aus der SP auf als Post-Daten / Umleitung übergeben werden?

habe ich gelesen, die technische Übersicht sowie die Grundlagen , aber sie diesen Teil nicht decken.

Ich werde die Haupt SP kontaktieren und fragen, wie es weitergehen, aber ich wollte meine Basen bedecken ersten und sehen, ob es eine Standardmethode ist, wie man mit dieser Situation fertig zu werden.

Answer 1

Die einfachste Sache zu tun ist, um den „Haupt-SP“ haben, bauen Sie den Link, so dass IDP-Init SSO initiiert wird für die Benutzer in der Anwendung zu protokollieren. So ist der Benutzer mit einer neuen Assertion aus der IDP (Kunde) zu Ihrem SP zeigen würde.

Sie können auch haben sie auf Ihre Website direkt verlinken auf invoke SP-Init SSO für die gegebene Identity Provider / Kunden.

Wie auch immer Sie wählen, dies zu tun, benötigen Sie mehrere Anwendungsfälle und Optionen für SAML 2.0 zu behandeln. Sie können diese nach oben haben und in kurzer Zeit zu laufen, wenn Sie das SaaS-Partner-Programm angeboten von Ping Identity prüfen wollen. www.pingidentity.com

Lassen Sie mich wissen, wenn Sie weitere Informationen möchten, auf das, was wir haben andere gesehen

Answer 2

Um SP-initiierte SSO, müssen Sie entweder zu tun, denn es gibt nur eine Identity-Provider zu sein, dass Sie Authentifizierungsanfragen senden könnten müssen, oder Sie müssen einige Mittel, um den richtigen Identitätsanbieter für einen bestimmten Benutzer zu bestimmen - entweder die Bedürfnisse der Nutzer einige IdP-Identifizierung bieten info (wie Stackoverflow tut, wenn Sie sich mit Ihrem Google oder einer anderen ID anmelden möchten) oder es kann etwas in der URL eingebettet sein. (Für die App ich die Arbeit an verschiedene Kunden haben ihre eigene Website-Domains, so IdPs denen abgebildet erhalten.)

Also, ja, wenn Sie den SP-initiierter Weg gehen gehen, müssen Sie eine Authentifizierungsanforderung an den IdP machen, um zu bestimmen, wer der Benutzer ist, und Sie wollen Relaystate verwenden, um sie zurück zu die ursprünglich angeforderte Seite. Wenn sie bereits an der IdP authentifiziert sind, dann höchstwahrscheinlich dieser Austausch, ohne dass eine Eingabe durch den Benutzer geschehen wird.