我正在使用 SPRING SAML 实现并充当 SP(例如:ALPHA)。我能够执行 SP 发起的 SSO,并能够使用 IDP 对用户进行身份验证。此实现中没有问题。
但在我的应用程序中,我需要访问链接到同一 IDP 的另一个 SP(例如:BETA)url。 ALPHA 和 BETA 服务提供商都受到同一个 IDP 的信任。在这种情况下,在 ALPHA 通过 SP INIT SSO 使用 IDP 对用户进行身份验证后,当重定向发生在 BETA SP URL 时,系统会要求我再次输入凭据。我了解 SP 承载不同的 session 。
如何使用通过 ALPHA SP 验证的相同 SAMLCredential 在 BETA SP 中启用登录。在浏览了一些文档后,我发现可以通过 IDP INIT SSO 来实现。
谁能告诉我如何配置我的应用程序以便能够处理 SP INIT SSO 和 IDP INIT SSO?
ALPHA SP 是 shibboleth,其他 SP 是 EZPROXY
最佳答案
这似乎是 IDP 的问题。
您应该简单地在 ALPHA 上包含一个指向 BETA 的普通链接,当用户达到 BETA 并且没有事件 session 时,它应该使用 IDP 初始化单点登录(就像 ALPHA 所做的那样)。 IDP 应重新使用现有 session (在通过 ALPHA 进行身份验证后应存在),而不是要求提供额外的凭据。您不需要在 ALPHA 上执行任何其他步骤。
通常不需要特殊/额外的配置来启用 IDP 初始化的 SSO - 当 SP 初始化的 SSO 工作时,IDP 初始化的通常也可以工作。
关于spring saml - IDP 发起的 SSO,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26405788/