Authentication 这是SAML的正确用例吗?
我有几个身份提供者,需要输入最终用户的一些信息集进行身份验证 当用户单击“使用…进行身份验证”时按钮,他将使用SAML AuthnRequest重定向到所选的身份提供商 然后,身份提供者显示一个网页,要求提交一份包含一些字段的表单,例如:Firsname、Lastname、Address,然后检查一个人是否真的以该地址为生 如果检查成功,则返回SAML响应,状态为Success,Firsname、Lastname、Address作为属性返回 若检查失败,则返回SAML响应,状态为AuthnFailed,具有相同的属性 我的问题是它是否是SAML的正确用法Authentication 这是SAML的正确用例吗?,authentication,saml,saml-2.0,Authentication,Saml,Saml 2.0,我有几个身份提供者,需要输入最终用户的一些信息集进行身份验证 当用户单击“使用…进行身份验证”时按钮,他将使用SAML AuthnRequest重定向到所选的身份提供商 然后,身份提供者显示一个网页,要求提交一份包含一些字段的表单,例如:Firsname、Lastname、Address,然后检查一个人是否真的以该地址为生 如果检查成功,则返回SAML响应,状态为Success,Firsname、Lastname、Address作为属性返回 若检查失败,则返回SAML响应,状态为AuthnFai
我应该如何正确配置它以每次请求身份验证(不应该建立与身份提供者的会话)?您基本上是正确的,这是有效的用例。但是,如果身份验证在IDP失败,您将收到一条状态为“失败”的SAMLResponse消息(可能是“urn:oasis:names:tc:SAML:2.0:status:AuthnFailed”,并且不会返回任何用户信息(因为身份验证失败) 在SP生成的AuthnRequest中,您可以设置可选的ForceAuthn=true属性。如果IDP支持该属性并将其设置为“true”,则身份提供程序必须直接对演示者进行身份验证,而不是依赖以前的安全上下文。如果未提供值,则默认值为“false”“。但是,如果ForceAuthn和iPassive均为“true”,则身份提供程序不得对演示者进行新身份验证,除非可以满足iPassive的约束。”(来自SAML 2.0核心规范中的第3.4.1节元素)
HTH-Ian为什么每次都要请求身份验证?