当前位置: 首页 > 知识库问答 >
问题:

IDP如何连接到SSO中的endpoint应用程序?

焦宁
2023-03-14

这是我第一次与SAML一起在SSO中工作。我们将使用HTTP Post方法,IDP是salesforce。我从网中跳到了下面几步。

  1. 用户首次访问自定义应用程序
  2. 服务提供商安全筛选器检查安全上下文是否可用,并使用SAML SSO请求将用户重定向到IDP
  3. IDP使用身份验证对话框质询用户,并在用户进行身份验证后重定向用户请求断言消费者服务(RACS)
  4. RACS验证来自IDP的响应,建立安全上下文并将用户重定向到原始应用程序endpoint
  5. 服务提供商安全筛选器强制确保有效的安全上下文可用,并允许用户访问自定义应用程序

这里我的问题是IDP需要验证应用程序endpoint。这里,SAML在公共网页与IDP之间播放,以启动SAML请求/响应。那么IDP如何连接到endpoint?是否遵循任何其他语言来连接和验证endpoint?否则它是如何连接的?你能请人解释一下这个概念吗?

共有1个答案

李锦
2023-03-14

在您的身份提供程序中配置SAML期间,您定义了一个断言消费者endpoint,这是您的应用程序中的一个URL,您希望在其中接收来自IDP的响应。身份验证后,IDP通过向其发送SAML响应消息来连接到此endpoint。IDP通常通过对SAML消息进行数字签名来对endpoint进行身份验证,然后您对其进行有效性和信任验证。

在IDP和SP之间发送SAML消息的方式(=将IDP连接到endpoint)称为绑定。绑定定义了如何准确地使用现有协议(例如HTTP)来传递SAML消息,即它告诉应该发送哪些参数,应该使用哪种HTTP方法...绑定是SAML 2.0标准的一部分,您可以在SAML 2.0规范中找到有关它们如何运行的详细信息。

IDP不会直接与您应用程序中的原始URL(即“原始应用程序endpoint”)通信。在成功验证SAML响应(在断言消费者endpoint接收)后将用户发送到正确目的地的过程可以由您完全确定。例如,如果断言消费者endpoint和“原始应用程序endpoint”是同一应用程序的一部分并共享安全上下文,您可以简单地发送HTTP重定向,而无需在此“最后一英里”中使用SAML。

 类似资料:
  • 我有一个服务提供商的应用程序。是否可以使用OpenID Connect实现由Idp启动的SSO 对于Idp启动的SSO,似乎只能使用SAML,对吗?或者有没有办法让OpenID连接也能正常工作?我正在考虑使用一些开源工具,比如KeyClope或OneLogin toolkit等。。 非常感谢。

  • null null 我试图使示例应用程序针对Weblogic IDP和Shibboleth IDP进行身份验证,但我没有设法使其工作。不是配置不完整就是我缺少了一些基本的东西。

  • 我有一个现有的应用程序,突然间我被赋予了一项任务来实现IDP启动的SSO。有一个指向IDP的URL,点击它会要求我使用IDP提供的凭据登录,成功登录后,路径将移动到我们的应用程序,然后我的任务开始识别用户并提供正确的访问权限。我有我们的IDP提供的证书。我怎样才能做到这一点?我的应用程序是Spring MVC Java应用程序。我使用JBOSS AS 7。我以前从未做过类似的事情。有人能一步步清楚

  • 谷歌应用程序-单点登录(SSO)是否支持*压缩编码*?我正在使用一个IDP,它在压缩SAML响应后对其进行编码。当此响应提交到谷歌应用程序时,它不允许登录,并显示错误“无法解析登录请求”。禁用放气后,工作正常。

  • 实现用于身份验证的 SSO 流。我是这里的新手,无法到达某些地方。我试图实现服务提供商发起的流程。它看起来像这样: < li >用户单击我的前端应用程序上的按钮,通过one 进行身份验证。 < li >用户重定向到联盟表单并选择所需的IdP进行身份验证。 < li >单击IdP按钮后,用户重定向到某些IdP上的特殊授权表单并输入他们的凭据。 < li >用户点击< code >登录并通过< cod

  • SSOCircle根据他们的网站提供了一个现成的身份提供程序。我想模拟SAML SSO并将其集成到示例Liberty中,以便在Bluemix中Java应用程序。 到目前为止我所做的: > 在SAML企业设置的“步骤2”下下载SAML元数据,并将其导入SSOCELL。我使用的FQDN是:https://ssocruzgstest-8iotczj2sk-cabc.iam.ibmcloud.com. 集