Diferenças entre SP iniciado SSO e IDP iniciado SSO
Alguém me pode explicar quais são as principais diferenças entre SP iniciado SSO e IDP iniciado SSO, incluindo qual seria a melhor solução para implementar um sinal único em conjunto com a Federação ADFS + OpenAM?
3 answers
Em IDP Init SSO (SSO Web não solicitado) o processo de Federação é iniciado pelo IDP enviando uma resposta SAML não solicitada para o SP. No SP-Init, o SP gera um AuthnRequest que é enviado para o IDP como o primeiro passo no processo da Federação e o IDP então responde com uma resposta SAML. O suporte do IMHO ADFSv2 para o SAML2. 0 Web SSO SP-Init é mais forte do que o seu suporte do IDP-Init re: integração com produtos Fed de terceiros (na sua maioria girando em torno do suporte para o RelayState) por isso, se você tenha uma escolha que você vai querer usar SP-Init como ele provavelmente vai tornar a vida mais fácil com ADFSv2.
Aqui estão algumas descrições SSO simples do Guia de início do PingFederate 8.0 que você pode procurar que também pode ajudar ... https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.htmlSSO iniciado por IDP
Da documentação de PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
Neste cenário, um utilizador Está ligado ao IdP e tenta aceder a um recurso num servidor SP remoto. A asserção SAML é transportada para o SP via HTTP POST.
Fases De Processamento:
- um utilizador ligou-se ao IdP.
- o utilizador solicita o acesso a um protected SP resource. O Usuário não está conectado ao site SP. Opcionalmente, o IdP recupera atributos do armazenamento de dados do utilizador.
- o serviço SSO do IdP devolve um formulário HTML ao navegador com uma resposta SAML contendo a afirmação de autenticação e quaisquer atributos adicionais. O navegador automaticamente publica o formulário HTML de volta para o SP.
SP iniciado SSO
Da documentação de PingFederate:- http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST
Neste cenário, um usuário tenta acessar um recurso protegido diretamente em um site SP sem ser conectado. O Usuário não tem uma conta no SP site, mas tem uma conta federada gerida por um IdP de terceiros. O SP envia um pedido de autenticação para o IdP. Tanto o pedido como a afirmação SAML devolvida são enviados através do navegador do utilizador através de HTTP POSTAR.Fases De Processamento:
- o utilizador solicita o acesso a um recurso SP protegido. O pedido é redirecionado para o servidor da federação para lidar com a autenticação.
- O servidor da Federação envia um formulário HTML de volta para o navegador com um pedido de autenticação SAML do IdP. O formulário HTML é automaticamente postado no serviço SSO do IdP.
- Se o utilizador não estiver já ligado ao sítio IdP ou se for necessária uma nova autenticação, o IdP pede credenciais (por exemplo, ID e senha) e o usuário faz login.
Informações adicionais sobre o usuário podem ser recuperados a partir do user data store para inclusão na resposta SAML. (Estes atributos são pré-determinados como parte do acordo da federação entre o PID e o SP)
O serviço SSO do IdP retorna um formulário HTML para o navegador com uma resposta SAML contendo a afirmação de autenticação e quaisquer atributos adicionais. O navegador publica automaticamente o Formulário HTML de volta ao SP. Nota: as especificações do SAML exigem que as respostas dos Correios sejam assinadas digitalmente.
(não mostrado) se a assinatura e asserção são válidas, o SP estabelece uma sessão para o Usuário e redireciona o navegador para o recurso alvo.