Authentication sp启动saml sso身份验证

我正在研究SP发起的saml sso，这对我来说是全新的。我看过很多文章和视频（维基百科、centrify chalktalk、媒体帖子），但我无法理解其中一些内容：

saml断言是saml令牌吗？如果没有，那么它是如何生成的

假设我有一个基于saml的IdP和两个启用saml的SP。现在，在纯后期绑定中，当我登录到其中一个SP，然后登录到第二个SP时，第二个SP如何让我登录？更准确地说，第二个SP如何知道用户已登录到第一个SP？决定它的参数是什么？（我可以得到更多关于这个的低级解释）。 IdP是否在cookie中存储有关会话的数据，或者是否有我遗漏的其他内容

如果有任何基于此的文章，请张贴他们

多谢各位

是的，断言本身通常是一个完全可移植的令牌，但是有一些方法可以将它绑定到请求者上的密钥

第二个SP在用户已登录后执行此操作。SP将用户重定向到IDP，并向IDP发出身份验证请求。IDP通常在第一次对用户进行身份验证时为用户保存cookie，这不是SAML指定的，而是通常如何完成的。当用户到达IDP时，IDP会查看cookie，如果用户身份验证仍然有效，IDP会自动向SP发送有效的断言/令牌。SP可以通过在身份验证请求中指定ForceAuthn属性来绕过此行为

---

关于资源，我推荐OASIS的SAML技术概述，首先让我回答您的具体问题：

1） saml断言是saml令牌吗？如果没有，那又如何呢 生成

-这只是同一事物的术语。SAML断言和SAML标记是同一件事。有两种不同的SAML断言/标记对您来说非常重要。SAML请求和SAML响应。SAML请求是在SP启动的SAML SSO中从SP发送到IDP的请求。SAML响应是作为SP启动的最后一部分或在IDP启动SAML SSO期间从IDP发送到SP的响应。SP initiated是指用户从SP应用程序启动，重定向到IDP进行身份验证，然后由IDP发送回SP应用程序。IDP inititated是指用户从IDP开始，然后直接进入SP。SAML断言只是已签名、转换为字符串并以64进制编码的XML。用户将它们从SP重定向到IDP，然后再返回

2） 假设我有一个基于saml的IdP和两个启用saml的SP 纯后期绑定，当我登录到其中一个SP，然后登录到 第二个SP，第二个SP如何让我登录？更确切地说,， 第二个SP如何知道用户已登录到第一个SP 服务提供商？决定它的参数是什么？（我能再低一点吗 这方面的详细说明）。IdP是否在cookie中存储关于 或者是我错过了什么

-这是特定于您的IDP的。作为Centrify SME，我可以告诉您Centrify和类似的IDP是如何工作的。当用户登录到IDP时，无论是从SP发起的重定向、公司机器上的IWA还是直接登录到IDP本身，浏览器中都会添加一个cookie。在Centrify的情况下，此cookie称为.ASPXAUTH。每次用户登录后被带到IDP时，都不会提示他们再次登录。因此，如果用户从SP1开始，被重定向到IDP，登录，并被重定向回，则cookie已由IDP设置。现在，如果他们转到SP2，默认情况下，SP也会重定向到IDP，但IDP不会再次提示进行身份验证，因为设置了cookie。因此，用户不会注意到重定向，IDP只会使用适当的SMAL响应将它们发送回SP2。所以像这样：

SP1>SAML请求并重定向到IDP>登录到IDP并设置cookie>SAML响应并重定向回SP1>导航到SP 2>SAML请求并重定向到IDP>设置cookie后立即重定向回具有SAML响应的SP

Centrify还有可供SP使用的API。例如，SP可以对/security/whoami执行客户端API调用，以查看是否存在有效的ASPXAUTH cookie。因此SP2可以检查一个有效的cookie并决定重定向，因为cookie已经设置好了

希望这能有所帮助。我在Centrify时用c#写了一个非常基本的例子。你可以在这里找到代码。请随时向我咨询更多问题，或在twitter上找到我