在浏览器中处理SAML IdP响应和断言

问题1：是否有一种方法可以在浏览器中“处理”SAML响应和断言以提供脱机身份验证？

答：
否。您不能从浏览器中“处理”SAML响应和断言以提供离线身份验证，因为离线身份验证无法满足以下SAML身份验证或SAML身份联合的两个要求。

（1）SAML是一种基于HTTP的协议，它依赖于使用用户代理（例如Web浏览器）将SAML请求从SAML服务提供商（SP）重定向到SAML身份提供商（IdP）并将SAML响应从SAML IdP重定向到SAML SP。

浏览器将SAML响应和断言从SAML IdP传递到应用程序SAML SP的断言使用者服务endpoint。

（2）应用程序的SAML SP在收到来自SAML IdP的SAML断言之前不知道用户是谁。

收到SAML断言后，SAML SP需要验证断言来自有效的SAML IdP，然后从断言中解析必要的用户信息（例如，用户名、属性等），以便您的应用程序可以根据SAML响应携带的用户信息授予用户访问权限并由SAML SP提取。

如果没有应用程序服务器托管的SAML SP，您的应用程序将无法完成SAML身份验证。

问题2：“离线”是指在不访问我的应用程序服务器的情况下，可以访问SAML身份提供者。这是因为我的应用程序在云中，而身份提供者在客户的网络中。

答：
SAML利用用户代理（例如Web浏览器）将SAML请求从SAML服务提供商（SP）重定向到SAML身份提供商（IdP），并将SAML响应从SAML IdP重定向到SAML SP，因此，SAML允许您的应用程序在云中，而身份提供商在客户的网络中。

例如，我使用本地Shibboleth IdP（客户网络中的SAML IdP）成功登录到Amazon AWS管理控制台（云中的一个应用程序），正如我从本地IdP SAML SSO登录AWS时对另一个StackOverflow问题ExpiredTokenException的回答所示。

总之，您可以使用“身份提供者是客户的网络”来验证“您在云中的应用程序”。但是，应用程序的SAML SP需要“处理”SAML响应和断言，验证SAML响应/断言的签名，并从SAML响应/断言中提取用户信息。

换句话说，您不能依赖web浏览器来“处理”SAML响应和断言，因为web浏览器不能存储SAML IdP的公共证书/密钥来验证SAML响应/断言的签名。