SAMLソリューションのサービスプロバイダーである必要があり、アサーションの処理がどのように機能するかを知りたいです。ここで答えが見つかりませんでした。
アサーションは次のように言うと思います:「私はジョン・ドーです、私のIDは:999です」?IDプロバイダーと「同期」しているユーザーリストが必要ですか?SAMLアサーションと同じIDを持つアクセス制御リストが必要ですか?
シナリオ:ACLを備えたデータベースがあります。私がサービスプロバイダーになり、リモートのサードパーティシステムがIDプロバイダーになります。
リモートシステムが、アクセス制御リストにあるユーザーをどのように認識して、だれでも認証できるようにする方法がわかりません。
IdPのユーザーIDとSPのユーザー間のマッピングは、SAML仕様自体ではカバーされていません。SAMLOverviewのセクション5.4「フェデレーションIDの確立と管理」を参照することをお勧めします。これは、シナリオに最も適切なアプローチを決定するのに役立ちます。
私が取り組んでいるシステム(複数のクライアント/ IdPのSPとして機能)の場合、クライアントが自分の識別子をシステム上のユーザーに関連付けることができるメカニズムがあります。このメカニズムはSAML実装の外部にあります。クライアントがSAMLアサーションを送信すると、それらのアサーションがそれらの識別子を使用してユーザーを識別することを期待します(また、別の共有識別子を使用してクライアント自体を識別します)。