我需要成为 SAML 解决方案中的服务提供商,并且想了解断言的处理如何工作。我找不到答案here .
我想断言会这样说:“我是 John Doe,我的 ID 是:999”?我是否需要与身份提供商“同步”的用户列表?我是否需要一个与 SAML 断言具有相同 ID 的访问控制列表?
场景:我有一个带有 ACL 的数据库。我将成为服务提供商,而远程第三方系统将成为身份提供商。
我不明白远程系统如何知道我的访问控制列表中有哪些用户能够授权任何人。
最佳答案
SAML 规范本身未涵盖 IdP 处的用户 ID 与 SP 处的用户之间的映射。我建议您查看 SAMLOverview 中的第 5.4 节“建立和管理联合身份” 。这应该可以帮助您确定最适合您的场景的方法。
对于我工作的系统(充当多个客户端/IdP 的 SP),我们有一种机制,客户端可以通过该机制将自己的标识符与我们系统上的用户关联起来;该机制不属于 SAML 实现范围。当客户端向我们发送 SAML 断言时,我们希望这些断言能够使用这些标识符来识别用户(以及使用另一个共享标识符来识别客户端本身)。
关于web-services - 处理 SAML 断言是如何工作的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4648730/