【问题标题】:SSO SAML SP - How many websites to cover under one SP?SSO SAML SP - 一个 SP 下可以覆盖多少个网站?
【发布时间】:2016-07-07 14:46:11
【问题描述】:

我正在尝试实现一个 saml 服务提供程序,但我不确定单个 SP 可以覆盖什么级别的系统。

每个 SP 的架构级别是什么被认为是好的做法?我们是否应该为整个部门、每台服务器、每个域、每个应用程序池甚至每个站点都设置一个?

我们的组织有一个 shibboleth IDP,我正在使用 kentor authservices。它适用于一个站点,但 sp 是该站点的一部分。 假设最佳实践不是每个站点一个,如果有人提示如何最好地使其更通用(即多个站点的一个 entityid),将不胜感激。

【问题讨论】:

    标签: asp.net saml kentor-authservices


    【解决方案1】:

    您需要以某种方式将登录信息获取到每个站点/应用程序中。您可以为每个站点使用一个 SP(这是 Kentor.AuthServices 方法),或者在 Web 应用程序前面设置一个 Shibboleth SP 代理。后者意味着您必须向每个站点添加代码以解析 Shibboleth 提供的 http 标头。我不喜欢这种方法——这就是我启动 Kentor.AuthServices 项目的原因。

    因此,我的偏好是通过一个尽可能为 Web 应用程序框架原生的模块,使每个站点成为合适的 SP。可能相关的模块有 Kentor.AuthServices (.NET)、SimpleSamlPhp、Spring (Java)、saml2-js (node)。

    如果您的组织有多个要与多个上游身份提供者联合的站点/应用程序,您将获得 NxM 对配置,这是不可扩展的。在这种情况下,一个选项是插入一个 SAML2 proxy,它充当内部应用程序的 Idp 和外部 Idps 的 SP。新站点/应用只需要在代理中配置,新的外部Idps只需要在代理中配置。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2017-02-06
      相关资源
      最近更新 更多