SAML (v2) プロトコルについての私の理解では、サービス プロバイダーは ID プロバイダーと直接やり取りして、承認要求とアサーション メッセージを交換する必要があります。
これが悪い考えである理由はいくつか考えられます (メッセージの署名を損なう、他の IdP からの情報への中間 IdP アクセスを許可する) が、次の配置を可能にする SAML でサポートされているシナリオはありますか?
SP <------> MainIdP <------> ThirdPartyIdP
そのため (仮説として) MainIdP には、SP ユーザーが ThirdPartyIdP に対して認証する必要があることを判断する何らかの巧妙な方法があると仮定すると、ThirdPartyIdP に委任し、応答を受信して処理し、SP に返信します。SAML はこれを許可しますか? (私が質問しているのは、ソフトウェア サプライヤがこのアプローチを提案しており、サポートされておらず、根本的に安全ではないと考えているためです。)
私が理解している「正しい」アプローチは、SPが両方のIdPを個別に認識するように構成され、選択するリストをユーザーに提示するか、ユーザーに尋ねることができるディスカバリーサービスに委任するか、 IdP を使用するその他の手段。これは正しいですか?
ありがとう。