【发布时间】:2015-05-29 18:35:38
【问题描述】:
我说的是 IDP 发起的工作流。
我正在为 saml 使用 this passport 策略。在“Security and signatures”标题下,它建议提供 IDP 的证书。
此证书将在我定义策略 AFAIK 时插入。
在多租户应用程序的情况下,在用户尝试登录之前,我无法知道要使用哪个证书,到那时再使用证书就太晚了,不是吗?
如果在收到 SAML 请求之前我不知道要使用哪个证书,我该如何验证多个租户的 SAML 请求?
我想我需要这样的东西:
- 用户发送信息来识别他们尝试登录的租户
- 使用正确的证书创建 SAML 策略。
- SAML 进程开始。
或者也许我只是想错了,而对于拥有一个相对安全的登录过程来说,这些都不是必需的?
如果这个问题过于宽泛,如果您离开 cmets 帮助我缩小范围,或者将我引导到我应该阅读的资源,我将不胜感激。
如果不清楚,我正在存储:
- SSO 网址
- 发行者网址
- 公共证书
此信息与租户相关联,因此一旦我从 IDP 获得个人资料信息,我就可以确定应将用户定向到哪个租户。我也可以在确定租户后使用此信息进行验证。
也许我可以使用公共证书进行一些“事后”验证?
【问题讨论】:
标签: node.js security passport.js saml