【问题标题】:SAML SSO Unsure how a user gets to the protected SP page for IDP initiated SAMLSAML SSO 不确定用户如何访问受 IDP 发起的 SAML 的受保护 SP 页面
【发布时间】:2022-01-08 13:04:31
【问题描述】:

我目前维护一个使用 LightSaml 编写的内部 SAML IDP。在与 SP 发起的 SSO 合作的过去 2 年中,这为公司提供了良好的服务。我最近的任务是实施 IDP 发起的 SSO,但我无法弄清楚用户在通过身份验证后如何自动重定向到所需的受保护页面。

在 SP 发起的 SSO 中,用户从他们想要的页面开始,因此 SP 在通过身份验证后知道他们想要结束的位置。所以在这种情况下,SP 会处理最终的重定向。

在 IDP 发起的 SSO 中,SP 实际上并不知道用户想要什么受保护的页面,那么有人可以解释一下 IDP 向 SP 发送身份验证响应后会发生什么吗?

提前致谢。

【问题讨论】:

    标签: single-sign-on saml idp


    【解决方案1】:

    在 IdP 发起的 SSO 中,连同 SAML 响应,IdP 可以发送中继状态。此中继状态是 SSO 完成后 SP 应重定向到的 URL。如果没有发送中继状态,SP 很可能会重定向到某个默认页面。

    一个典型的场景是 IdP 有一个门户页面,其中一个或多个链接代表 SP 的不同页面。如果用户点击链接#1,IdP 向SP 发起SSO,并将中继状态设置为页面#1 URL。如果用户点击链接 #2,IdP 会向 SP 发起 SSO,并将中继状态设置为页面 #2 URL。

    【讨论】:

    • 谢谢。将使我的工作变得非常简单。
    • 对此的一个小评论。中继状态通常用于发送用户在经过身份验证后应该发送到的页面的 URL。情况并非总是如此,它可以包含任何东西来代表用户在 SP 的状态。从 SAML 视图来看,这可以是任何值,并且会简单地与经过身份验证的用户一起回显。
    • 您所说的仅适用于 SP 发起的 SSO。该问题与 IdP 发起的 SSO 有关,其中中继状态具有完全不同的目的,如我的回答中所述。
    猜你喜欢
    • 1970-01-01
    • 2014-12-11
    • 2017-02-06
    • 2015-07-11
    • 2022-01-23
    • 2019-12-22
    • 1970-01-01
    • 2015-04-19
    • 1970-01-01
    相关资源
    最近更新 更多