Czy ktoś może mi wyjaśnić, jakie są główne różnice między SP zainicjowany SSO i IDP zainicjowany SSO są tym, co byłoby lepszym rozwiązaniem do wdrożenia pojedynczy znak na w połączeniu z ADFS + Federacja OpenAM?Różnice pomiędzy SP zainicjowany SSO i IDP zainicjowany SSO
Odpowiedz
W SSO typu Init IDP (niezapowiedziana Web SSO) proces federacji jest inicjowany przez IDP wysyłającego niezamawianą odpowiedź SAML do SP. W SP-Init SP generuje żądanie AuthnRequest, które jest wysyłane do IDP jako pierwszy krok w procesie Federacji, a IDP odpowiada odpowiedzią SAML. Obsługa IMHO ADFSv2 dla SAML2.0 Web SSO SP-Init jest silniejszy niż obsługa IDP-Init re: integracja z produktami innych producentów Fed (głównie z obsługą RelayState), więc jeśli masz wybór, będziesz chciał użyć SP-a Init, ponieważ prawdopodobnie ułatwi życie z ADFSv2.
Oto kilka prostych opisów SSO z PingFederate 8,0 Getting Started Guide, które można kłuć przez które mogą pomóc także - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html
IDP Zainicjowany SSO
Z dokumentacji PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
W tym scenariuszu użytkownik jest zalogowany do dostawcy tożsamości i próbuje uzyskać dostęp do zasobu na zdalnym serwerze SP. Asercja SAML jest transportowana do SP za pośrednictwem HTTP POST.
tworzenie Kroki:
- Użytkownik jest zalogowany do PRI.
- Użytkownik żąda dostępu do chronionego zasobu SP. Użytkownik nie jest zalogowany na stronie SP.
- Opcjonalnie, IdP pobiera atrybuty z magazynu danych użytkownika.
- Usługa jednokrotnego logowania IdP zwraca formularz HTML do przeglądarki z odpowiedzią SAML zawierającą asercję uwierzytelniania i wszelkie dodatkowe atrybuty. Przeglądarka automatycznie wysyła formularz HTML z powrotem do SP.
SP Zainicjowany SSO
Z dokumentacji PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST
W tym scenariuszu użytkownik próbuje uzyskać dostęp do chronionego zasobu bezpośrednio na stronie internetowej SP bez zalogowany. Użytkownik nie ma konta w witrynie SP, ale ma konto stowarzyszone zarządzane przez niezależnego dostawcę tożsamości. SP wysyła żądanie uwierzytelnienia do dostawcy tożsamości. Zarówno żądanie, jak i zwrócona asercja SAML są wysyłane za pośrednictwem przeglądarki użytkownika za pośrednictwem protokołu HTTP POST.
tworzenie Kroki:
- użytkownik zażąda dostępu do chronionego zasobu Sp. Żądanie jest przekierowywane na serwer federacyjny w celu obsługi uwierzytelniania.
- Serwer federacyjny wysyła formularz HTML z powrotem do przeglądarki, żądając SAML dla uwierzytelnienia od dostawcy tożsamości. Formularz HTML jest automatycznie publikowany w usłudze SSO dostawcy tożsamości.
- Jeśli użytkownik nie jest już zalogowany do witryny dostawcy tożsamości lub jeśli wymagana jest ponowna autoryzacja, dostawca tożsamości prosi o poświadczenia (np., Identyfikator i hasło), a użytkownik loguje się.
Dodatkowe informacje o użytkowniku można pobrać z magazynu danych użytkownika w celu uwzględnienia w odpowiedzi SAML. (Te atrybuty są wstępnie określone jako część umowy federacyjnej między IdP a SP) Usługa SSO IdP zwraca formularz HTML do przeglądarki z odpowiedzią SAML zawierającą asercję uwierzytelniania i wszelkie dodatkowe atrybuty. Przeglądarka automatycznie wysyła formularz HTML z powrotem do SP. UWAGA: Specyfikacje SAML wymagają, aby odpowiedzi POST były podpisane cyfrowo.
(Nie pokazano) Jeśli podpis i potwierdzenie są poprawne, SP ustanawia sesję dla użytkownika i przekierowuje przeglądarkę do zasobu docelowego.
Reżyseria inicjowane przez ReSP SP - punkt 3 powyżej mówi "Jeśli użytkownik nie jest już zalogowany do witryny dostawcy tożsamości lub jeśli wymagana jest ponowna autoryzacja, dostawca tożsamości prosi o poświadczenia (np. ID i hasło), a użytkownik loguje się. " W jaki sposób system określa, czy użytkownik jest zalogowany na stronie dostawcy tożsamości? Czy na przykład generuje plik cookie? – Edwardo
@Edwardo Twoje założenie jest poprawne. Po ustanowieniu sesji z dostawcą tożsamości zwykle dostawca tożsamości generuje plik cookie, aby utrzymać tę sesję. – jekennedy
Mam inne pytanie http://stackoverflow.com/questions/43861315/how-to-maintain-state-parameter-in-identity-provider-idp-initiated-saml-sso. Czy możesz na to spojrzeć? – kawadhiya21
SP Zainicjowany SSO
SP: "Hej, wiesz Sal?"
IdP: "?! To zrobić ... Ach racja Tak, wiem Sal"
SP: ". Ok chłodny dam ją w"
IdP Zainicjowany SSO
IDP: "Hej Sal mówi mi, że znam jej"
SP: ". I nie ... Oh yeah ja będę ją wpuścić"
Nie sądzę, że druga rozmowa jest właściwa ... zamiast tego powinna być: IdP: "Hej, oto kilka informacji o Sal, proszę wpuść ją"/SP: "Ok, ufam ci, pozwolę jej w " –
pierwsza rozmowa też nie jest właściwa: w pierwszym kroku SP nie wie nic o tym, który użytkownik jeszcze jest, tylko w IdP użytkownik zaloguje się i utożsamia się jako" Sal " – Allie
Pierwsza rozmowa powinna być: SP: "Hej, gdzie jest twój dowód osobisty?" IdP: "Poczekaj, ja to sprawdzę." Pozwól mi zobaczyć twoje ID, ok. Bro wpuścił ją, ona ma na imię Sal, a ona ma 21 lat (opcjonalnie) "SP:" Fajny koleś, twój wspaniały! Hej ty, daj spokój ! " –
- 1. Apache Shiro i SSO
- 2. "Zmienna musi być zainicjowany" błąd podczas delegowania do zainicjowany własności
- 3. Rozwiązanie do zarządzania tożsamością/SSO?
- 4. SSO do integracji z Facebookiem
- 5. Odrzucenie AppCenter z powodu SSO
- 6. Facebook android sdk 3.0 SSO
- 7. Ustawienia Maven za pomocą SSO?
- 8. Google Maps CameraUpdateFactory nie zainicjowany
- 9. Błąd "IBitmapDescriptorFactory nie został zainicjowany"
- 10. Sitecore Tracker.Current nie został zainicjowany
- 11. Android SSO (Single Sign-On) dla aplikacji
- 12. C# Uwierzytelnianie formularzy .ASPXAUTH Cookie dla SSO
- 13. SAML 2.0 SSO dla Ruby on Rails?
- 14. integracja logowania vanilla/codeigniter z jsconnect/SSO
- 15. Disqus Integracja SSO na stronie internetowej
- 16. SSO - Get AD Nazwa użytkownika z Apache
- 17. Requestera/InvalidNameIDPolicy Błąd simpleSAMLphp SP i ADFS IDP
- 18. Używanie SimpleSAML jako SP i IDP dla środowiska programistycznego
- 19. Niewystarczający błąd danych: podczas wykonywania Disqus SSO
- 20. Spring saml - jak zapamiętać parametr żądania podczas inicjowania logowania na SP, i przetwarzanie ich po odpowiedzi IdP
- 21. Jak zachowuje się kanał nie zainicjowany?
- 22. Błąd Pygame: System wideo nie został zainicjowany
- 23. C++ zainicjowany określona dla metody non-virtual
- 24. java.lang.NullPointerException: CameraUpdateFactory nie jest zainicjowany wyjątek logcat
- 25. Zf2 Moduł (DoctrineModule) nie mógł zostać zainicjowany
- 26. Zainicjowany wydarzeniem WPF UserControl nie wypalanie
- 27. Rake "już zainicjowany stałą WFKV_" Ostrzeżenie
- 28. ZF2: Moduł nie mógł zostać zainicjowany
- 29. zestaw zainicjowany tablice jako parametry w C#
- 30. iOS Simulator libSystem został zainicjowany w porządku
ok Dziękuję .... :) – pbhle