このようなアプリケーションワークフローがあります
(A) User-Agent (ブラウザ) <-----> (B) App Server <------> (C) RESTサービス
アプリ サーバー (B) が SAML サービス プロバイダーであり、user@domain が Web ブラウザー SSO プロファイルを使用して、ブラウザー (A) からアプリ サーバー (B) への認証を行うとします。
(B) で実行されているアプリケーションは、REST サービス (C) に対してuser@domain.com として認証するにはどうすればよいでしょうか? (B と C が両方とも同じ IdP 上の SAML SP であると仮定します。)
ブラウザーが B と C の両方に対して AJAX 呼び出しを行うだけであれば、簡単です。しかし、REST サービスがアプリケーションから直接呼び出された場合、どうすればよいでしょうか?
私が苦労していること: アプリケーション自体が SAML SP ではなく、SAML SP と統合されている (たとえば、Shibboleth SP と REMOTE_USER ヘッダーを使用している) 場合、アプリケーションは SAML アサーションを認識しない可能性があります。ユーザーがログインし、IdP に対して認証されていることはわかっていますが、バックエンド サービスにハンドオフするための SAML アサーションを取得する方法がありません。
解決策はありますか、それとも運が悪いのでしょうか?