ASP.NETでSAMLv2.0用のSP(サービスプロバイダー)を作成するという任務を負っていますが、次のように思います。
ユーザーがサービスのメインSPにログインし(以前にブックマークされていない限り、ユーザーがアンカー/リンクとしてSPにアクセスできるようになる場合)、SPへのアクセスを要求した場合、ログインをどのように処理する必要がありますか?
彼らはログインし、メインSPのIdPによって承認されますが、そのSPはユーザーがログインしていることをSPにどのように通知しますか?ユーザーがログインしているかどうかを判断するために、新しい認証リクエストをIdPに送信する必要がありますか、それともSPからのクエリ文字列を使用してポストデータ/リダイレクトとして渡す必要がありますか?
技術的な概要と基本を読みましたが、この部分については説明していません。
メインのSPに連絡して、進め方を尋ねますが、最初に拠点をカバーして、この状況に対処するための標準的な方法があるかどうかを確認したいと思いました。
最も簡単な方法は、「メインSP」にリンクを構築させて、ユーザーがアプリケーションにログインできるようにIDP-InitSSOを開始することです。したがって、ユーザーはIDP(顧客)からSPへの新しいアサーションで表示されます。
また、サイトに直接リンクして、特定のIDプロバイダー/顧客のSP-InitSSOを呼び出すこともできます。
どちらの方法を選択した場合でも、SAML2.0の複数のユースケースとオプションを処理する必要があります。Ping Identityが提供するSaaSパートナープログラムを確認したい場合は、これを短時間で稼働させることができます。www.pingidentity.com
私たちが他に見たものについてもっと情報が必要な場合は私に知らせてください
SPによって開始されるSSOを実行するには、認証要求を送信する必要があるIDプロバイダーが1つだけであるか、特定のユーザー(ユーザーのいずれか)に適切なIDプロバイダーを決定するための何らかの手段が必要です。 IdPを識別する情報を提供する必要があります(たとえば、Googleまたは他のIDを使用してログインする場合にStackOverflowが行うなど)。そうでない場合は、URLに何かが埋め込まれている可能性があります。(私が取り組んでいるアプリの場合、さまざまなクライアントが独自のサイトドメインを持っているため、IdPはそれらにマップされます。)
したがって、はい、SPで開始されたルートを使用する場合は、IdPに認証要求を行ってユーザーが誰であるかを判別する必要があります。また、RelayStateを使用して、最初に要求されたルートに戻す必要があります。ページ。それらがすでにIdPで認証されている場合、この交換はユーザーからの入力を必要とせずに行われる可能性があります。