SP发起的SSO和IDP发起的SSO之间的差异

Question

任何人都可以向我解释SP发起的SSO和IDP发起的SSO之间的主要区别是什么,包括哪个是与ADFS + OpenAM Federation一起实现单点登录的更好解决方案？

Answer 1

IDP启动了SSO

来自PingFederate文档: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

在此方案中,用户登录到IdP并尝试访问远程SP服务器上的资源.SAML断言通过HTTP POST传输到SP.

处理步骤:

1. 用户已登录到IdP.
2. 用户请求访问受保护的SP资源.用户未登录SP站点.
3. 可选地,IdP从用户数据存储中检索属性.
4. IdP的SSO服务将一个HTML表单返回给浏览器,其中包含SAML响应,其中包含身份验证断言和任何其他属性.浏览器会自动将HTML表单发布回SP.

SP发起的SSO

来自PingFederate文档: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

在此方案中,用户尝试直接在SP Web站点上访问受保护资源,而无需登录.用户在SP站点上没有帐户,但拥有由第三方IdP管理的联合帐户.SP向IdP发送认证请求.请求和返回的SAML断言都通过HTTP POST通过用户的浏览器发送.

处理步骤:

1. 用户请求访问受保护的SP资源.请求被重定向到联合服务器以处理身份验证.
2. 联合服务器将一个HTML表单发送回浏览器,并带有来自IdP的SAML请求.HTML表单会自动发布到IdP的SSO服务.
3. 如果用户尚未登录到IdP站点或者需要重新身份验证,则IdP请求凭据(例如,ID和密码)并且用户登录.

4. 可以从用户数据存储中检索关于用户的附加信息以包括在SAML响应中.(这些属性是作为IdP和SP之间的联合协议的一部分预先确定的)

5. IdP的SSO服务将一个HTML表单返回给浏览器,其中包含SAML响应,其中包含身份验证断言和任何其他属性.浏览器会自动将HTML表单发布回SP.注意: SAML规范要求对POST响应进行数字签名.

6. (未显示)如果签名和断言有效,则SP为用户建立会话并将浏览器重定向到目标资源.

Answer 2

在IDP Init SSO(未经请求的Web SSO)中,联盟进程由IDP向SP发送未经请求的SAML响应来启动.在SP-Init中,SP生成一个AuthnRequest,作为联合进程的第一步发送给IDP,然后IDP以SAML响应进行响应.恕我直言ADFSv2对SAML2.0的支持Web SSO SP-Init比其IDP-Init支持更强:与第三方Fed产品集成(主要围绕RelayState的支持)所以如果您有选择,您将需要使用SP-使用ADFSv2可能会让生活更轻松.

以下是PingFederate 8.0入门指南中的一些简单的SSO描述,您可以通过这些描述来解决这些问题 - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html

Answer 3

SP发起的SSO

对用户说:"嘿,吉米,告诉我那份报告"

SP的Jimmy:"嘿,我不确定你是谁.我们在这里有一个过程,所以你先让自己与Bob一起验证IdP.我相信他."

Id Id的鲍勃:"我看到吉米把你送到了这里.请把你的凭据告诉我."

对用户说:"嗨,我是比尔.这是我的凭据."

Bob Id Id:"嗨比尔.看起来你好吗."

IdP的Bob:"嘿吉米.这个人比尔检查出来,这里有一些关于他的其他信息.你可以从这里做任何你想做的事."

SP的Jimmy:"好的很酷.看起来比尔也在我们的已知客人名单中.我会让比尔进去."

IdP启动了SSO

对用户说:"嘿鲍勃.我想去吉米的地方.那边的安全很紧张."

同性恋者鲍勃:"嘿吉米.我相信比尔.他退房了,这里还有一些关于他的其他信息.你可以从这里做任何你想做的事."

SP的Jimmy:"好的很酷.看起来比尔也在我们的已知客人名单中.我会让比尔进去."