从 SP 发起的 SSO 转换为 IdP 发起的 SSO
Posted
技术标签:
【中文标题】从 SP 发起的 SSO 转换为 IdP 发起的 SSO【英文标题】:Converting from SP initiated SSO to IdP initiated SSO 【发布时间】:2019-03-23 16:48:21 【问题描述】:我是 SSO 的新手,所以如果我的问题没有意义,请告诉我。我们的内部系统目前支持 SP 发起的 SSO。我们已成功完成与第三方应用程序的集成,但我们最新的供应商仅支持 IdP 发起的 SSO。在这一点上我有什么选择?整合还有可能吗?我什至不知道从哪里开始,所以任何帮助我指向正确方向的帮助将不胜感激。 谢谢你的时间。
【问题讨论】:
【参考方案1】:同意@Kellen,它应该可以工作。
您只需要找出“魔术链接” - 将您带到 IDP 启动屏幕的 URL,例如在 Azure AD 中,该链接将您带到身份验证屏幕,然后进入应用程序。
【讨论】:
【参考方案2】:IdP 发起意味着他们将在 IdP 处调用一个 URL,该 URL 将自动生成 SAMLResponse 并将用户返回到您的应用程序以及该响应。只要您的 SAML 堆栈可以接受未经请求的响应(很可能),您应该没问题。
如果您使用的是 Shibboleth,则可以保证它可以正常工作。
您的 SAML 实施是什么样的?我们需要知道您是如何实现 SAML 的,以便 100% 确定地告诉您,但您极有可能以相同的方式进行集成,并且它会起作用。
根据我的经验,IdP 发起的 SSO 似乎让每个人都感到困惑,但这并不神秘。另外......我发现您的客户端不太可能不支持 SP 发起的 SSO,他们只是不太了解他们的堆栈,无法为您提供正确的端点。在 SAML 世界里有很多“被困在盒子里”的想法。
【讨论】:
谢谢凯伦。这次我们决定使用他们的 API 进行集成,但如果我们下次需要使用 SAML,您的回答帮助我指明了正确的方向。以上是关于从 SP 发起的 SSO 转换为 IdP 发起的 SSO的主要内容,如果未能解决你的问题,请参考以下文章