静默 SAML 身份验证？

Question

我正在尝试使用 SAML 协议对用户进行身份验证。 到目前为止，我有两个应用程序在两个不同的身份提供者（Auth0 和 OneLogin）中进行测试。我也有我的服务提供商。 我正在尝试做的是对用户进行身份验证，而不是将他们重定向到任何身份提供者登录表单。 像这样：

1. 用户尝试登录我的应用程序（用 React 制作）
2. 我的服务器提供商收到用户发出的请求并发送 身份提供者的凭据（用户名和密码） 使用 SAML 协议。
3. 身份提供者验证凭证，如果它们是 正确，return 对我的服务器提供商的 SAML 断言；除此以外， 它将 return 一个错误。
4. 如果内容已发送，则取决于身份提供者的响应 是否给用户。

我知道这不是 SAML 的预期用途，但我想知道是否有办法做到这一点以及如何做到这一点。

---

任何帮助或建议都会受到欢迎，谢谢。

Answer 1

SAML 不是这样工作的，我不知道有任何 SAML 身份提供商接受用户名和密码。

可以在发送给身份提供商的 SAML 身份验证请求中包含用户名，但没有包含密码的规定。

我认为，如果您要提示用户在另一个网站（即服务提供商）上输入他们在一个网站（即身份提供商）的凭据，则有许多安全考虑因素。

使用 SAML SSO，如果用户尚未在身份提供商处进行身份验证，它将提示用户登录。