SAML 服务提供商作为另一项服务的身份提供商?
SAML service provider as identity provider to another service?
这是场景。
1. Service Provider ABC.com is configured to accept credentials from IDP MNO.com.
2. Service Provider is also configured as an Identity Provider for XYZ.com.
3. User requests resource from ABC.com, is authenticated successfully against MNO.com.
4. Now the user wants a resource from XYZ.com.
XYZ 将询问 ABC 用户是否已通过身份验证。用户最初根据 MNO.com 进行身份验证。 MNO.com 和 XYZ.com 不认识对方。最初针对 MNO.com 进行身份验证的凭据是否交叉到 XYZ.com?换句话说,ABC.com 是否会认为用户已通过身份验证,并且会提供从 MNO.com 到 XYZ.com 收到的凭据?
如果没有,是否有办法实现这一点,或者原始 IdP (MNO.com) 是否也需要服务 XYZ.com?
简而言之:
Identity Provider: MNO.com trusts SP: ABC.com
SP: ABC.com also configured as IDP to XYZ.com
SP: XYZ.com does not know about IDP: MNO.com
来自 MNO.com 的凭据是否仅因为 ABC.com 既是 SP 又是身份提供者而传递给 XYZ.com?
谢谢
理想情况下,您的情况下会有一个身份提供者 (MNO.com)。所有关联的服务提供者都需要在 IDP 中配置。您有两个 SP "abc.com" 和 "xyz.com" 应该配置为 MNO.com 但是 abc.com 和 xyz.com 不需要相互认识。
用例:如果用户尝试登录受 IDP MNO.com 保护的 xyz.com,那么如果之前未登录,MNO.com 将要求提供凭据。现在用户将能够访问 xyz.com,他想访问 abc.com,然后请求将转到 IDP 进行身份验证,并且由于先前由 xyz.com 创建的会话而获得成功的身份验证。因此用户无需再次登录即可访问 abc.com。
如有任何疑问,请告诉我。
这是场景。
1. Service Provider ABC.com is configured to accept credentials from IDP MNO.com.
2. Service Provider is also configured as an Identity Provider for XYZ.com.
3. User requests resource from ABC.com, is authenticated successfully against MNO.com.
4. Now the user wants a resource from XYZ.com.
XYZ 将询问 ABC 用户是否已通过身份验证。用户最初根据 MNO.com 进行身份验证。 MNO.com 和 XYZ.com 不认识对方。最初针对 MNO.com 进行身份验证的凭据是否交叉到 XYZ.com?换句话说,ABC.com 是否会认为用户已通过身份验证,并且会提供从 MNO.com 到 XYZ.com 收到的凭据?
如果没有,是否有办法实现这一点,或者原始 IdP (MNO.com) 是否也需要服务 XYZ.com?
简而言之:
Identity Provider: MNO.com trusts SP: ABC.com
SP: ABC.com also configured as IDP to XYZ.com
SP: XYZ.com does not know about IDP: MNO.com
来自 MNO.com 的凭据是否仅因为 ABC.com 既是 SP 又是身份提供者而传递给 XYZ.com?
谢谢
理想情况下,您的情况下会有一个身份提供者 (MNO.com)。所有关联的服务提供者都需要在 IDP 中配置。您有两个 SP "abc.com" 和 "xyz.com" 应该配置为 MNO.com 但是 abc.com 和 xyz.com 不需要相互认识。
用例:如果用户尝试登录受 IDP MNO.com 保护的 xyz.com,那么如果之前未登录,MNO.com 将要求提供凭据。现在用户将能够访问 xyz.com,他想访问 abc.com,然后请求将转到 IDP 进行身份验证,并且由于先前由 xyz.com 创建的会话而获得成功的身份验证。因此用户无需再次登录即可访问 abc.com。
如有任何疑问,请告诉我。