114

ADFS + OpenAM フェデレーションと組み合わせてシングル サインオンを実装するためのより良いソリューションを含め、SP 開始の SSOIDP 開始の SSOの主な違いは何ですか?

4

4 に答える 4

90

IDP が開始する SSO

PingFederate のドキュメントから:- https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

このシナリオでは、ユーザーが IdP にログオンし、リモート SP サーバー上のリソースにアクセスしようとします。SAML アサーションは、HTTP POST 経由で SP に転送されます。

処理手順:

  1. ユーザーが IdP にログオンしました。
  2. ユーザーは、保護された SP リソースへのアクセスを要求します。ユーザーは SP サイトにログオンしていません。
  3. オプションで、IdP はユーザー データ ストアから属性を取得します。
  4. IdP の SSO サービスは、認証アサーションと追加の属性を含む SAML 応答を含む HTML フォームをブラウザーに返します。ブラウザは、HTML フォームを SP に自動的にポストします。

SP が開始した SSO

PingFederate のドキュメントから:- http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

このシナリオでは、ユーザーは、ログオンせずに SP Web サイト上の保護されたリソースに直接アクセスしようとします。ユーザーは SP サイトにアカウントを持っていませんが、サードパーティの IdP によって管理されているフェデレーション アカウントを持っています。SP は IdP に認証要求を送信します。要求と返された SAML アサーションの両方が、HTTP POST を介してユーザーのブラウザーから送信されます。

処理手順:

  1. ユーザーは、保護された SP リソースへのアクセスを要求します。認証を処理するために、要求はフェデレーション サーバーにリダイレクトされます。
  2. フェデレーション サーバーは、IdP からの認証のための SAML 要求と共に HTML フォームをブラウザーに送り返します。HTML フォームは IdP の SSO サービスに自動的に送信されます。
  3. ユーザーがまだ IdP サイトにログオンしていない場合、または再認証が必要な場合、IdP は資格情報 (ID とパスワードなど) を要求し、ユーザーはログオンします。
  4. ユーザーに関する追加情報をユーザー データ ストアから取得して、SAML 応答に含めることができます。(これらの属性は、IdP と SP の間のフェデレーション協定の一部として事前に決定されます)

  5. IdP の SSO サービスは、認証アサーションと追加の属性を含む SAML 応答を含む HTML フォームをブラウザーに返します。ブラウザは、HTML フォームを SP に自動的にポストします。注: SAML 仕様では、POST 応答がデジタル署名されている必要があります。

  6. (表示されていません) 署名とアサーションが有効な場合、SP はユーザーのセッションを確立し、ブラウザーをターゲット リソースにリダイレクトします。

于 2014-03-26T06:38:56.487 に答える
75

IDP Init SSO (Unsolicited Web SSO) では、連携プロセスは、IDP が非請求 SAML 応答を SP に送信することによって開始されます。SP-Init では、SP はフェデレーション プロセスの最初のステップとして IDP に送信される AuthnRequest を生成し、IDP は SAML 応答で応答します。SAML2.0 Web SSO SP-Init の IMHO ADFSv2 サポートは、IDP-Init サポートよりも強力です: サードパーティの Fed 製品との統合 (主に RelayState のサポートを中心に展開) であるため、選択肢がある場合は SP- を使用することをお勧めします。おそらくADFSv2での生活が楽になるので、初期化してください。

以下は、PingFederate 8.0 Getting Started Guide の簡単な SSO の説明です

于 2012-10-08T18:56:18.960 に答える
68

SP が開始した SSO

ユーザーに請求する: 「ねえ、ジミー、そのレポートを見せて」

Jimmy the SP: 「ねえ、まだあなたが誰なのかわかりません。ここにプロセスがあるので、最初に IdP の Bob に確認してもらいましょう。私は彼を信頼しています。」

Bob the IdP: 「ジミーがあなたをここに送ったようです。資格情報を教えてください。」

ユーザーに請求します。「こんにちは、Bill です。これが私の資格情報です。」

Bob the IdP: 「やあビル。チェックアウトしたようだね。」

IdP のボブ: 「やあ、ジミー。この男のビルがチェックアウトし、ここに彼に関する追加情報があります。ここからやりたいことは何でもできます。」

Jimmy the SP: 「いいですね。Bill も既知のゲストのリストに含まれているようです。Bill を入れます。」

IdP が開始する SSO

ユーザーに請求します。「ボブさん、ジミーの家に行きたいのですが、あそこは警備が厳重です。」

IdP のボブ: 「やあ、ジミー。私はビルを信頼しています。彼はチェックアウトし、ここに彼に関する追加情報があります。ここからやりたいことは何でもできます。」

Jimmy the SP: 「いいですね。Bill も既知のゲストのリストに含まれているようです。Bill を入れます。」


ここでさらに詳しく説明しますが、それでも物事はシンプルに保ちます: https://jorgecolonconsulting.com/saml-sso-in-simple-terms/ .

于 2016-11-11T06:54:59.797 に答える