从 SP 发起的 SSO 转换为 IdP 发起的 SSO

Posted 2023-03-24

【中文标题】从 SP 发起的 SSO 转换为 IdP 发起的 SSO

【英文标题】：Converting from SP initiated SSO to IdP initiated SSO

【发布时间】：2019-03-23 16:48:21

【问题描述】：

我是 SSO 的新手，所以如果我的问题没有意义，请告诉我。我们的内部系统目前支持 SP 发起的 SSO。我们已成功完成与第三方应用程序的集成，但我们最新的供应商仅支持 IdP 发起的 SSO。在这一点上我有什么选择？整合还有可能吗？我什至不知道从哪里开始，所以任何帮助我指向正确方向的帮助将不胜感激。 谢谢你的时间。

【参考方案1】：

同意@Kellen，它应该可以工作。

您只需要找出“魔术链接” - 将您带到 IDP 启动屏幕的 URL，例如在 Azure AD 中，该链接将您带到身份验证屏幕，然后进入应用程序。

【参考方案2】：

IdP 发起意味着他们将在 IdP 处调用一个 URL，该 URL 将自动生成 SAMLResponse 并将用户返回到您的应用程序以及该响应。只要您的 SAML 堆栈可以接受未经请求的响应（很可能），您应该没问题。

如果您使用的是 Shibboleth，则可以保证它可以正常工作。

您的 SAML 实施是什么样的？我们需要知道您是如何实现 SAML 的，以便 100% 确定地告诉您，但您极有可能以相同的方式进行集成，并且它会起作用。

根据我的经验，IdP 发起的 SSO 似乎让每个人都感到困惑，但这并不神秘。另外......我发现您的客户端不太可能不支持 SP 发起的 SSO，他们只是不太了解他们的堆栈，无法为您提供正确的端点。在 SAML 世界里有很多“被困在盒子里”的想法。

【讨论】：

谢谢凯伦。这次我们决定使用他们的 API 进行集成，但如果我们下次需要使用 SAML，您的回答帮助我指明了正确的方向。