静默 SAML 身份验证?
Silent SAML authentication?
我正在尝试使用 SAML 协议对用户进行身份验证。 到目前为止,我有两个应用程序在两个不同的身份提供者(Auth0 和 OneLogin)中进行测试。我也有我的服务提供商。 我正在尝试做的是对用户进行身份验证,而不是将他们重定向到任何身份提供者登录表单。 像这样:
- 用户尝试登录我的应用程序(用 React 制作)
- 我的服务器提供商收到用户发出的请求并发送 身份提供者的凭据(用户名和密码) 使用 SAML 协议。
- 身份提供者验证凭证,如果它们是 正确,return 对我的服务器提供商的 SAML 断言;除此以外, 它将 return 一个错误。
- 如果内容已发送,则取决于身份提供者的响应 是否给用户。
我知道这不是 SAML 的预期用途,但我想知道是否有办法做到这一点以及如何做到这一点。
任何帮助或建议都会受到欢迎,谢谢。
SAML 不是这样工作的,我不知道有任何 SAML 身份提供商接受用户名和密码。
可以在发送给身份提供商的 SAML 身份验证请求中包含用户名,但没有包含密码的规定。
我认为,如果您要提示用户在另一个网站(即服务提供商)上输入他们在一个网站(即身份提供商)的凭据,则有许多安全考虑因素。
使用 SAML SSO,如果用户尚未在身份提供商处进行身份验证,它将提示用户登录。