服务提供商的入站身份验证配置和身份提供商的联合身份验证器配置之间有什么区别?
What is the difference between service provider's Inbound Authentication Configuration and identity provider's Federated Authenticator Configuration?
我无法理解服务提供商的入站身份验证配置和身份提供商的联合身份验证器配置之间的区别。
- 我添加了新的服务提供商并配置了 SAML 入站身份验证配置。
- 我使用仪表板添加了一个新用户。
- 我在 tomcat 上部署了一个 Web 应用程序 (travelocity) 作为服务提供商,向 IS 服务器请求 SAML 身份验证
- 当我点击 travelocity 的 SAML 登录时 link,它转发到 IS 服务器的登录页面。
- 我插入user/password,登录成功
在此过程中,我没有配置身份提供程序,但身份验证有效。但我在身份提供者的联合身份验证器配置 (SAML) 中发现了一些类似的配置。我不明白为什么需要联合身份验证器配置。
我明白了喜欢以下。
当用户信息(id、密码等)存储在IS服务器中,并且身份验证过程在IS服务器中进行时,SP(服务提供商)的入站身份验证配置就足够了。不需要配置 IDP(身份提供者)。对吗?
当用户信息(id,密码等)存储在另一个IS服务器或其他公司的服务器(google,facebook)
并且身份验证过程正在另一台 IS 服务器或其他公司的服务器(google,facebook)中处理,IDP(身份提供者)的联合身份验证器配置就足够了。不需要配置SP(服务提供商)。对吗?
在这种情况下,不需要配置身份提供者。当仅使用入站身份验证配置 (SAML) 时,它会在此实例中处理请求。并且在配置联合身份验证器配置(SAML)时,它将请求转发到另一个实例。对吗?
我想知道我的想法对不对
请给我一些关于以下情况的例子。
- 案例只需要服务商
- 案例只需要身份提供者
- 案例需要服务提供商和身份提供商
服务提供者是一个应用程序。您需要为此应用程序添加身份验证。因此,您使用一些身份提供者来配置身份验证功能。假设你使用 WSO2IS,那么你需要在 WSO2IS 中配置 SP 相关配置。您可以使用服务提供商配置和入站身份验证来使用 SP 和 IDP 可以相互交谈的所需协议注册您的 SP。
现在,您的 IDP 是什么?是的,您的 IDP 是 WSO2IS。登录您的应用程序的用户也在 WSO2IS 中。用户可以通过提供 user/password 登录。
比如,您的应用程序需要社交登录。您需要在您的应用中使用 Google 添加登录名。但是您的应用程序的 IDP 是 WSO2IS,您需要添加新的 IDP 作为 Google。那么,我们能做什么呢?您可以使用身份提供商配置在 WSO2IS 中注册 IDP。在您可以通过定义出站身份验证配置将此 IDP 映射到您的应用程序之后。在这里,您可以将 WSO2IS 和 Google 都定义为应用程序的 IDP。我建议您阅读 this 博客文章,其中提到了 WSO2IS 的这些类型的用例。通常它被称为联合身份验证。
没有任何要求只定义一个 IDP,除了一种情况,即 SAML2 Bearer assertion grant type。
我无法理解服务提供商的入站身份验证配置和身份提供商的联合身份验证器配置之间的区别。
- 我添加了新的服务提供商并配置了 SAML 入站身份验证配置。
- 我使用仪表板添加了一个新用户。
- 我在 tomcat 上部署了一个 Web 应用程序 (travelocity) 作为服务提供商,向 IS 服务器请求 SAML 身份验证
- 当我点击 travelocity 的 SAML 登录时 link,它转发到 IS 服务器的登录页面。
- 我插入user/password,登录成功
在此过程中,我没有配置身份提供程序,但身份验证有效。但我在身份提供者的联合身份验证器配置 (SAML) 中发现了一些类似的配置。我不明白为什么需要联合身份验证器配置。
我明白了喜欢以下。
当用户信息(id、密码等)存储在IS服务器中,并且身份验证过程在IS服务器中进行时,SP(服务提供商)的入站身份验证配置就足够了。不需要配置 IDP(身份提供者)。对吗?
当用户信息(id,密码等)存储在另一个IS服务器或其他公司的服务器(google,facebook) 并且身份验证过程正在另一台 IS 服务器或其他公司的服务器(google,facebook)中处理,IDP(身份提供者)的联合身份验证器配置就足够了。不需要配置SP(服务提供商)。对吗?
在这种情况下,不需要配置身份提供者。当仅使用入站身份验证配置 (SAML) 时,它会在此实例中处理请求。并且在配置联合身份验证器配置(SAML)时,它将请求转发到另一个实例。对吗?
我想知道我的想法对不对
请给我一些关于以下情况的例子。
- 案例只需要服务商
- 案例只需要身份提供者
- 案例需要服务提供商和身份提供商
服务提供者是一个应用程序。您需要为此应用程序添加身份验证。因此,您使用一些身份提供者来配置身份验证功能。假设你使用 WSO2IS,那么你需要在 WSO2IS 中配置 SP 相关配置。您可以使用服务提供商配置和入站身份验证来使用 SP 和 IDP 可以相互交谈的所需协议注册您的 SP。
现在,您的 IDP 是什么?是的,您的 IDP 是 WSO2IS。登录您的应用程序的用户也在 WSO2IS 中。用户可以通过提供 user/password 登录。
比如,您的应用程序需要社交登录。您需要在您的应用中使用 Google 添加登录名。但是您的应用程序的 IDP 是 WSO2IS,您需要添加新的 IDP 作为 Google。那么,我们能做什么呢?您可以使用身份提供商配置在 WSO2IS 中注册 IDP。在您可以通过定义出站身份验证配置将此 IDP 映射到您的应用程序之后。在这里,您可以将 WSO2IS 和 Google 都定义为应用程序的 IDP。我建议您阅读 this 博客文章,其中提到了 WSO2IS 的这些类型的用例。通常它被称为联合身份验证。
没有任何要求只定义一个 IDP,除了一种情况,即 SAML2 Bearer assertion grant type。