【发布时间】:2014-03-22 18:37:04
【问题描述】:
最近,我正在观看一个视频 here,其中谈到了 SAML 活动配置文件,其中客户端直接从身份提供者那里获取 SAML 令牌,然后使用该令牌向服务提供者提交请求,而不是具有 SP 发起或 IdP 发起请求的常规 WebSSO 配置文件。关于这种实现有什么好的参考吗?此配置文件在 SAML 规范中的正式名称是什么?
【问题讨论】:
【发布时间】:2014-03-22 18:37:04
【问题描述】:
没有看过视频,它可能谈到了 SAML 的增强客户端或代理 (ECP) 配置文件。此配置文件允许增强型客户端(例如,具有嵌入式 SAML-ECP 功能的浏览器)和反向代理(例如,您的移动运营商使用的代理,能够根据您使用的 SIM 卡使用 IDP 对您进行身份验证)使用 SOAP 协议与 IDP 通信(使用身份验证请求协议)。
用于此配置文件的绑定是PAOS。使用 PAOS,服务提供者使用包含 SAML 消息的 SOAP 消息响应 HTTP 请求,例如AuthnRequest。
用户通过发送标准 HTTP 请求来请求资源,服务提供者通过发送回封装在 HTTP 响应中的 SOAP Enveloped 的 AuthnRequest 来请求身份验证。然后,ECP 知道如何从 IDP 获取响应(再次使用 SOAP)并将其传递回服务提供商。
ECP 还可以在联系 SP 之前获取 SAML 响应,并向其提供它发送的第一个 HTTP 请求。
您可以在saml2-profiles 文档中找到详细信息。支持此功能的 IDP 很少(例如 OpenAM),也有一些 SP(例如 Spring SAML),但支持 ECP 的客户端很少。
【讨论】: