Відмінності між ІСС, ініційованим СП, та ІСО, ініційованим СП


107

Чи може хто-небудь пояснити мені, в чому полягають основні відмінності між ІСС, ініційованою СП та ІРС, ініційованим СП , в тому числі, яке б було кращим рішенням для здійснення єдиного входу спільно з Федерацією ADFS + OpenAM?


2
Для уточнення для кожного, хто має новий єдиний знак щодо понять: SP = постачальник послуг (система, яку користувач хоче використовувати) та IdP = ідентифікувати постачальника (система, яка автентифікує користувача)
Seafish

Відповіді:


72

У IDP Init SSO (Непотрібна веб-SSO) процес Федерації ініціюється ІДП, що надсилає незапрошений відповідь SAML в ІП. У SP-Init SP генерує AuthnRequest, який надсилається IDP як перший крок у процесі Федерації, а потім IDP відповідає у відповідь SAML. Підтримка IMHO ADFSv2 для SAML2.0 Web SSO SP-Init сильніше, ніж його підтримка IDP-Init щодо інтеграції з продуктами стороннього Fed (в основному обертається навколо підтримки для RelayState), тому якщо у вас є вибір, ви хочете використовувати SP- Запропонуйте, оскільки це, ймовірно, полегшить життя з ADFSv2.

Ось декілька простих описів SSO з Посібника з початку роботи PingFederate 8.0, через який ви також можете скористатися - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html


81

Ініційований ССО

З документації PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

У цьому випадку користувач увійшов до IdP та намагається отримати доступ до ресурсу на віддаленому сервері SP. Затвердження SAML транспортується до SP через HTTP POST.

Етапи обробки:

  1. Користувач увійшов у систему IdP.
  2. Користувач запитує доступ до захищеного ресурсу SP. Користувач не входить у систему SP.
  3. Необов'язково IdP витягує атрибути із сховища даних користувача.
  4. Служба SSO IdP повертає HTML-форму в браузер із відповіддю SAML, що містить підтвердження автентифікації та будь-які додаткові атрибути. Веб-переглядач автоматично надсилає форму HTML назад в ІП.

SP ініціював SSO

З документації PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

У цьому випадку користувач намагається отримати доступ до захищеного ресурсу безпосередньо на веб-сайті SP, не входячи в систему. Користувач не має облікового запису на веб-сайті SP, але має об'єднаний обліковий запис, керований стороннім IdP. SP надсилає запит аутентифікації на IdP. І запит, і повернене твердження SAML надсилаються через браузер користувача через HTTP POST.

Етапи обробки:

  1. Користувач запитує доступ до захищеного ресурсу SP. Запит перенаправляється на сервер федерації для обробки автентифікації.
  2. Сервер федерації відправляє HTML-форму назад до браузера із запитом SAML для аутентифікації від IdP. Форма HTML автоматично розміщується в службі SSO IdP.
  3. Якщо користувач ще не ввійшов на сайт IdP або потрібна повторна автентифікація, IdP запитує облікові дані (наприклад, ідентифікатор та пароль) і користувач входить у систему.
  4. Додаткова інформація про користувача може бути отримана з сховища даних користувача для включення у відповідь SAML. (Ці атрибути заздалегідь визначені як частина федеральної угоди між IdP та SP)

  5. Служба SSO IdP повертає HTML-форму в браузер із відповіддю SAML, що містить підтвердження автентифікації та будь-які додаткові атрибути. Веб-переглядач автоматично надсилає форму HTML назад в ІП. ПРИМІТКА. Технічні характеристики SAML вимагають, щоб відповіді POST були цифрово підписані.

  6. (Не показано) Якщо підпис і твердження є дійсними, SP встановлює сеанс для користувача та перенаправляє браузер на цільовий ресурс.


1
Повторно SP, ініційований SSO - у пункті 3 вище, сказано: "Якщо користувач ще не ввійшов на сайт IdP або потрібна повторна автентифікація, IdP запитує облікові дані (наприклад, ідентифікатор та пароль) і користувач входить у систему." Як система визначає, чи користувач увійшов на сайт IdP? Чи створює він, наприклад, файл cookie?
Едвард

1
@Edwardo Ваше припущення правильне. Коли сеанс встановлюється за допомогою IdP, зазвичай IdP створює файл cookie для підтримки цього сеансу.
jekennedy

У мене є ще одне питання stackoverflow.com/questions/43861315/… . Ви можете подивитися на це?
kawadhiya21

49

SP ініціював SSO

Білл користувачеві: "Ей, Джиммі, покажи мені цей звіт"

Джиммі СП: "Ей, я не впевнений, хто ти ще є. У нас тут процес, тож ти спочатку перевіриш себе з Боб ІДП. Я йому довіряю".

Боб ІДП: "Я бачу, що Джиммі вас послав сюди. Будь ласка, дайте мені свої повноваження".

Білл користувачеві: "Привіт, я є Білл. Ось мої облікові дані".

Боб ІдП: "Привіт Білл. Схоже, ви перевірили".

Боб ІдП: "Ей, Джиммі. Цей хлопець Білл перевіряє, і ось додаткова інформація про нього. Звідси ти робиш все, що хочеш".

Джиммі СП: "Добре круто. Схоже, Білл також у нашому списку відомих гостей. Я впущу Білла".

Ініційований SSO IdP

Білл користувача: "Ей, Боб. Я хочу зайти до місця Джиммі. Безпека там щільна".

Боб ІдП: "Ей, Джиммі. Я довіряю Біллу. Він перевіряє, і ось додаткова інформація про нього. Звідси ти робиш все, що хочеш".

Джиммі СП: "Добре круто. Схоже, Білл також у нашому списку відомих гостей. Я впущу Білла".


Тут я детальніше розбираюсь, але все одно прощу: https://jorgecolonconsulting.com/saml-sso-in-simple-terms/ .


33
Я не думаю, що друга розмова є правильною .... натомість вона повинна бути: IdP: "Ей, ось дещо інформації про Сал, будь ласка, пустіть її" / СП: "Добре, я вам довіряю, я дозволю їй в "
Джефф Олсон

4
перша розмова також не вірна: на першому кроці SP нічого не знає, про якого користувача вона ще знаходиться, лише на IdP користувач увійде та вкаже себе як "Sal"
Аллі

4
Перша розмова повинна бути: СП: "Гей, де ваш посвідчення?" IdP: "Тримай, я перевірю це. Дозвольте мені побачити вашу посвідчення особи. Добре, брато, впустіть її, вона називається Сал, і їй 21 (необов'язково)" СП: "Класний чувак, ваш чудовий! Ей, заходь ! "
Ердаль Г.

3
Я вважаю, що ця відповідь не заслуговує тих голосів, які вона отримала. Він відповідає на питання творчо, можливо, не так точно, як вказали деякі, але тим не менш творчим.
Аарон С

2
Цікаво було б побачити правильну відповідь у такому форматі. Мої очі переглядають читання відповідей, які голосують, цей формат допомагає дуже швидко схопити загальну концепцію. Я не знаю достатньо, щоб впевнено створити відповідь на основі коментарів.
Шон Конноллі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.