在处理基于 Apache Tomcat SAML 2.0 的单点登录 (SSO) 时,我遇到了 SAML 2.0 身份验证请求下名为“IsPassive”的属性。SAML 2.0 规范对此进行了如下介绍:
IsPassive [可选] 布尔值。如果为“true”,则身份提供者和用户代理本身不得明显地从请求者那里控制用户界面,并以明显的方式与演示者交互。如果未提供值,则默认值为“false”。
就单点登录场景而言,此定义最准确的含义或示例是什么?此属性是否与单点登录中的主动和被动配置文件有联系?
首先,这与主动或被动 SSO 无关。通常,“主动”是指基于 Web 服务的 SSO(我通常会为此考虑桌面客户端应用程序),而“被动”通常是指基于浏览器的 SSO。
其次,通过发送 IsPassive=True,SP 实质上是在告诉 IDP,“仅当您可以在没有用户参与的情况下进行身份验证时,才对用户进行身份验证。” 我认为最常用的 Web SSO 方法可能是 Kerberos(集成 Windows 身份验证)或 x509。或者,如果 IDP 已经对用户进行了身份验证,并且用户具有可以重新用于给定 SP AuthnRequest 的有效会话,那么这符合 IsPassive=true 要求 IIRC。
| 归档时间: |
|
| 查看次数: |
4305 次 |
| 最近记录: |