SAML: La comunicación entre los proveedores de servicios?

Question

he sido asignada a escribir SP (proveedor de servicios) para SAML v2.0 en ASP.NET, y me pregunto lo siguiente;

Si un usuario inicia sesión en el SP principal para un servicio (donde mi SP se convierte en accesible para un usuario como un ancla / enlace, salvo bookmarked previamente), y luego solicita el acceso a mi SP, cómo debería manejar su acceso?

Se han iniciado la sesión y se vuelven autorizado por el IdP en el SP principal, pero ¿cómo decirle a mi que la SP SP que el usuario está conectado? Voy a tener que enviar una nueva solicitud de autorización al IdP para determinar si el usuario está conectado o debe ser transmitida como datos de entrada / redirección con una cadena de consulta de la SP?

He leído el Descripción técnica así como la conceptos básicos , pero que no cubren esta parte.

I se comunicará con el SP principal y preguntar cómo proceder, pero quería cubrir mis bases primera y ver si hay una manera estándar en cómo hacer frente a esta situación.

Answer 1

La cosa más fácil que hacer es tener el "SP principal" construir el vínculo para que IDP-Init SSO se inicia para que los usuarios inician sesión en la aplicación. Por lo que el usuario se presentaba con una nueva aserción de la IDP (cliente) a su SP.

También podría tener los vinculan directamente a su sitio para invocar SP-Init SSO para la identidad dada Proveedor / Cliente.

De cualquier forma que elija para hacer esto será necesario que manejar múltiples casos de uso y opciones para SAML 2.0. Usted puede tener esta en marcha y funcionando en poco tiempo si se desea retirar el programa de socios SaaS que ofrece Ping Identity. www.pingidentity.com

Avísame si desea más información acerca de lo que hemos visto otro

Answer 2

Con el fin de hacer iniciada SP-SSO, ya sea necesidad de que exista un solo proveedor de identidad que puede que tenga que enviar solicitudes de autenticación, o si necesita algún medio para determinar el proveedor de identidad adecuada para un usuario particular - ya sea que el usuario necesita para proporcionar algo de información IdP identificación (tal como lo hace Stackoverflow cuando se desea iniciar sesión en el uso de Google o de otro documento de identidad) o puede haber algo incrustado en la URL. (Para el trabajo de aplicación que, los diferentes clientes tienen sus propios dominios de sitio, por lo consiguen IdPs asignan a aquellos.)

Así que, sí, si vas a ir a la ruta SP-iniciado, tendrá que hacer una solicitud de autenticación al IdP para determinar quién es el usuario, y usted tendrá que usar RelayState para que vuelvan a la página solicitada originalmente. Si ya están autenticados en el IdP, lo más probable es este intercambio va a ocurrir sin requerir ninguna intervención del usuario.