Чи може хто-небудь пояснити мені, в чому полягають основні відмінності між ІСС, ініційованою СП та ІРС, ініційованим СП , в тому числі, яке б було кращим рішенням для здійснення єдиного входу спільно з Федерацією ADFS + OpenAM?
Чи може хто-небудь пояснити мені, в чому полягають основні відмінності між ІСС, ініційованою СП та ІРС, ініційованим СП , в тому числі, яке б було кращим рішенням для здійснення єдиного входу спільно з Федерацією ADFS + OpenAM?
Відповіді:
У IDP Init SSO (Непотрібна веб-SSO) процес Федерації ініціюється ІДП, що надсилає незапрошений відповідь SAML в ІП. У SP-Init SP генерує AuthnRequest, який надсилається IDP як перший крок у процесі Федерації, а потім IDP відповідає у відповідь SAML. Підтримка IMHO ADFSv2 для SAML2.0 Web SSO SP-Init сильніше, ніж його підтримка IDP-Init щодо інтеграції з продуктами стороннього Fed (в основному обертається навколо підтримки для RelayState), тому якщо у вас є вибір, ви хочете використовувати SP- Запропонуйте, оскільки це, ймовірно, полегшить життя з ADFSv2.
Ось декілька простих описів SSO з Посібника з початку роботи PingFederate 8.0, через який ви також можете скористатися - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html
Ініційований ССО
З документації PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
У цьому випадку користувач увійшов до IdP та намагається отримати доступ до ресурсу на віддаленому сервері SP. Затвердження SAML транспортується до SP через HTTP POST.
Етапи обробки:
SP ініціював SSO
З документації PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST
У цьому випадку користувач намагається отримати доступ до захищеного ресурсу безпосередньо на веб-сайті SP, не входячи в систему. Користувач не має облікового запису на веб-сайті SP, але має об'єднаний обліковий запис, керований стороннім IdP. SP надсилає запит аутентифікації на IdP. І запит, і повернене твердження SAML надсилаються через браузер користувача через HTTP POST.
Етапи обробки:
Додаткова інформація про користувача може бути отримана з сховища даних користувача для включення у відповідь SAML. (Ці атрибути заздалегідь визначені як частина федеральної угоди між IdP та SP)
Служба SSO IdP повертає HTML-форму в браузер із відповіддю SAML, що містить підтвердження автентифікації та будь-які додаткові атрибути. Веб-переглядач автоматично надсилає форму HTML назад в ІП. ПРИМІТКА. Технічні характеристики SAML вимагають, щоб відповіді POST були цифрово підписані.
(Не показано) Якщо підпис і твердження є дійсними, SP встановлює сеанс для користувача та перенаправляє браузер на цільовий ресурс.
Білл користувачеві: "Ей, Джиммі, покажи мені цей звіт"
Джиммі СП: "Ей, я не впевнений, хто ти ще є. У нас тут процес, тож ти спочатку перевіриш себе з Боб ІДП. Я йому довіряю".
Боб ІДП: "Я бачу, що Джиммі вас послав сюди. Будь ласка, дайте мені свої повноваження".
Білл користувачеві: "Привіт, я є Білл. Ось мої облікові дані".
Боб ІдП: "Привіт Білл. Схоже, ви перевірили".
Боб ІдП: "Ей, Джиммі. Цей хлопець Білл перевіряє, і ось додаткова інформація про нього. Звідси ти робиш все, що хочеш".
Джиммі СП: "Добре круто. Схоже, Білл також у нашому списку відомих гостей. Я впущу Білла".
Білл користувача: "Ей, Боб. Я хочу зайти до місця Джиммі. Безпека там щільна".
Боб ІдП: "Ей, Джиммі. Я довіряю Біллу. Він перевіряє, і ось додаткова інформація про нього. Звідси ти робиш все, що хочеш".
Джиммі СП: "Добре круто. Схоже, Білл також у нашому списку відомих гостей. Я впущу Білла".
Тут я детальніше розбираюсь, але все одно прощу: https://jorgecolonconsulting.com/saml-sso-in-simple-terms/ .