SSO инициированный IDP без специального SSO-сервера

Question

У меня есть приложение ASP.NET, которое уже использует файлы cookie для входа в систему. Мне нужно предоставить ссылку в моем приложении, нажав, к чему пользователь должен получить доступ к своей информации на Salesforce.com с помощью SSO. Я планирую реализовать эту ссылку в качестве страницы ASP, которая строит утверждение SAML с соответствующим именем пользователя в Salesforce.com, публикует утверждение SAML на URL Salesforce.com SAML Endpoint, получает ответ SAML от Salesforce.com и перенаправляет пользователь на URL -адрес сессии, содержащийся в ответе.

Кто -нибудь пробовал этот подход вместо использования выделенного SSO -сервера (например, OpenAM)? Есть ли проблемы в этом подходе?

Answer 1

Вы не сможете этого сделать, потому что это потребует от вас самостоятельно внедрить большую часть PAML IDP (идентификационного поставщика). SAML является сложным стандартом, включающим многократные взаимодействия между IDP и SP (поставщик услуг), это гораздо больше, чем просто отправка утверждения.

Чтобы включить SAML, вам нужно установить IDP (например, OpenAM), подключить его к базе данных пользователей и преобразовать ваше приложение в SP.

Википедия имеет более подробную информацию о Saml Ieractions.