spring saml - IDP 发起的 SSO

Posted 2023-02-19

【中文标题】spring saml - IDP 发起的 SSO

【英文标题】：spring saml - IDP initiated SSO

【发布时间】：2014-12-11 21:38:47

【问题描述】：

我正在使用 SPRING SAML 实现并充当 SP（例如：ALPHA）。我能够执行 SP 发起的 SSO 并能够使用 IDP 对用户进行身份验证。此实现中没有问题。

但在我的应用程序中，我需要访问另一个链接到同一个 IDP 的 SP（例如：BETA）网址。 ALPHA 和 BETA 服务提供商都受到同一个 IDP 的信任。在这种情况下，在 ALPHA 通过 SP INIT SSO 使用 IDP 对用户进行身份验证后，当重定向发生在 BETA SP URL 时，我被要求再次输入凭据。我了解 SP 进行不同的会话。

如何使用通过 ALPHA SP 验证的相同 SAMLCredential 在 BETA SP 中启用登录。在浏览了一些文档后，我发现可以通过 IDP INIT SSO。

谁能告诉我如何配置我的应用程序以能够处理 SP INIT SSO 以及 IDP INIT SSO？

ALPHA SP 是 shibboleth，其他 SP 是 EZPROXY

【问题讨论】：

@vschafer 您能否调查一下这个问题，因为您必须清楚地知道如何从已经能够使用自己的 SP INIT SSO 进行身份验证的应用程序向另一个 SP 发起 IDP SSO 调用.

【参考方案1】：

这似乎是 IDP 的问题。

您应该在 ALPHA 上简单地包含一个指向 BETA 的普通链接，当用户到达 BETA 并且没有活动会话时，它应该使用 IDP 初始化单点登录（就像 ALPHA 所做的那样）。并且 IDP 应该重新使用现有的会话（它应该在向 ALPHA 进行身份验证后出现）并且不要求额外的凭据。您不需要对 ALPHA 执行任何其他步骤。

通常不需要特殊/额外的配置来启用 IDP 初始化 SSO - 当 SP 初始化 SSO 工作时，IDP 初始化通常也可以工作。