ADFS + OpenAM フェデレーションと組み合わせてシングル サインオンを実装するためのより良いソリューションを含め、SP 開始の SSOとIDP 開始の SSOの主な違いは何ですか?
4 に答える
IDP が開始する SSO
PingFederate のドキュメントから:- https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
このシナリオでは、ユーザーが IdP にログオンし、リモート SP サーバー上のリソースにアクセスしようとします。SAML アサーションは、HTTP POST 経由で SP に転送されます。
処理手順:
- ユーザーが IdP にログオンしました。
- ユーザーは、保護された SP リソースへのアクセスを要求します。ユーザーは SP サイトにログオンしていません。
- オプションで、IdP はユーザー データ ストアから属性を取得します。
- IdP の SSO サービスは、認証アサーションと追加の属性を含む SAML 応答を含む HTML フォームをブラウザーに返します。ブラウザは、HTML フォームを SP に自動的にポストします。
SP が開始した SSO
PingFederate のドキュメントから:- http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST
このシナリオでは、ユーザーは、ログオンせずに SP Web サイト上の保護されたリソースに直接アクセスしようとします。ユーザーは SP サイトにアカウントを持っていませんが、サードパーティの IdP によって管理されているフェデレーション アカウントを持っています。SP は IdP に認証要求を送信します。要求と返された SAML アサーションの両方が、HTTP POST を介してユーザーのブラウザーから送信されます。
処理手順:
- ユーザーは、保護された SP リソースへのアクセスを要求します。認証を処理するために、要求はフェデレーション サーバーにリダイレクトされます。
- フェデレーション サーバーは、IdP からの認証のための SAML 要求と共に HTML フォームをブラウザーに送り返します。HTML フォームは IdP の SSO サービスに自動的に送信されます。
- ユーザーがまだ IdP サイトにログオンしていない場合、または再認証が必要な場合、IdP は資格情報 (ID とパスワードなど) を要求し、ユーザーはログオンします。
ユーザーに関する追加情報をユーザー データ ストアから取得して、SAML 応答に含めることができます。(これらの属性は、IdP と SP の間のフェデレーション協定の一部として事前に決定されます)
IdP の SSO サービスは、認証アサーションと追加の属性を含む SAML 応答を含む HTML フォームをブラウザーに返します。ブラウザは、HTML フォームを SP に自動的にポストします。注: SAML 仕様では、POST 応答がデジタル署名されている必要があります。
(表示されていません) 署名とアサーションが有効な場合、SP はユーザーのセッションを確立し、ブラウザーをターゲット リソースにリダイレクトします。
IDP Init SSO (Unsolicited Web SSO) では、連携プロセスは、IDP が非請求 SAML 応答を SP に送信することによって開始されます。SP-Init では、SP はフェデレーション プロセスの最初のステップとして IDP に送信される AuthnRequest を生成し、IDP は SAML 応答で応答します。SAML2.0 Web SSO SP-Init の IMHO ADFSv2 サポートは、IDP-Init サポートよりも強力です: サードパーティの Fed 製品との統合 (主に RelayState のサポートを中心に展開) であるため、選択肢がある場合は SP- を使用することをお勧めします。おそらくADFSv2での生活が楽になるので、初期化してください。
以下は、PingFederate 8.0 Getting Started Guide の簡単な SSO の説明です。
SP が開始した SSO
ユーザーに請求する: 「ねえ、ジミー、そのレポートを見せて」
Jimmy the SP: 「ねえ、まだあなたが誰なのかわかりません。ここにプロセスがあるので、最初に IdP の Bob に確認してもらいましょう。私は彼を信頼しています。」
Bob the IdP: 「ジミーがあなたをここに送ったようです。資格情報を教えてください。」
ユーザーに請求します。「こんにちは、Bill です。これが私の資格情報です。」
Bob the IdP: 「やあビル。チェックアウトしたようだね。」
IdP のボブ: 「やあ、ジミー。この男のビルがチェックアウトし、ここに彼に関する追加情報があります。ここからやりたいことは何でもできます。」
Jimmy the SP: 「いいですね。Bill も既知のゲストのリストに含まれているようです。Bill を入れます。」
IdP が開始する SSO
ユーザーに請求します。「ボブさん、ジミーの家に行きたいのですが、あそこは警備が厳重です。」
IdP のボブ: 「やあ、ジミー。私はビルを信頼しています。彼はチェックアウトし、ここに彼に関する追加情報があります。ここからやりたいことは何でもできます。」
Jimmy the SP: 「いいですね。Bill も既知のゲストのリストに含まれているようです。Bill を入れます。」
ここでさらに詳しく説明しますが、それでも物事はシンプルに保ちます: https://jorgecolonconsulting.com/saml-sso-in-simple-terms/ .