澄清 SP 与 IdP 发起的 SSO

Clarification on SP vs IdP initiated SSO

我有几个关于 SP 和 IdP 发起的 SSO 的问题。

  1. 使用 IdP 启动的 SSO,我的 www.application.com URL 是否指向 IdP 服务器?如果它指向实际应用程序,那么 IdP 实际上是如何工作的?

  2. 对于 SP 发起的 SSO,身份验证是否由应用程序安全层强制执行,例如开发人员必须介绍的东西?是否可以在Web Server层或者web server前面的proxy上实现?

谢谢!

使用 IDP init,用户访问 IDP 的 URL,进行身份验证并转发到您的应用程序。

对于你的第二个问题,所有提到的备选方案都是可能的。 可以使用 OpenSAML or SpringSAML

在应用程序中强制执行它

可以在某些应用程序服务器上执行 websphere

可以使用单独的软件作为代理 ex。 OpenAM shibboleth

各有利弊,但这是对这个问题的深入讨论。