Authentication 静默SAML身份验证?
我正在尝试使用SAML协议对用户进行身份验证。 到目前为止,我在两个不同的身份提供者(Auth0和OneLogin)中有两个应用程序要测试。我还有我的服务提供商。 我试图做的是对用户进行身份验证,而不将他们重定向到任何身份提供者登录表单。 大概是这样的:Authentication 静默SAML身份验证?,authentication,saml,Authentication,Saml,我正在尝试使用SAML协议对用户进行身份验证。 到目前为止,我在两个不同的身份提供者(Auth0和OneLogin)中有两个应用程序要测试。我还有我的服务提供商。 我试图做的是对用户进行身份验证,而不将他们重定向到任何身份提供者登录表单。 大概是这样的: 用户尝试登录到我的应用程序(在React中创建) 我的服务器提供程序接收用户发出的请求并发送 身份提供程序的凭据(用户名和密码) 使用SAML协议 身份提供程序验证凭据(如果是) 正确,将SAML断言返回给我的服务器提供程序;否则,, 它将返回
任何帮助或建议都会收到,谢谢。SAML不是这样工作的,我不知道有任何SAML身份提供商接受用户名和密码 可以在发送给身份提供程序的SAML authn请求中包含用户名,但没有包含密码的规定 我认为,如果您要在不同的网站(即服务提供商)提示用户提供一个网站(即身份提供商)的凭据,则有许多安全注意事项
使用SAML SSO,如果用户尚未通过身份提供程序的身份验证,它将提示用户登录。因此,每当用户登录时,我必须使用身份提供程序的登录表单(除非他们有现有会话),对吗?问题是我希望这对用户是完全透明的,这是正确的。我不知道如何才能让它对用户透明。我发现ECP SAML配置文件有助于实现用户的“透明”身份验证。希望这有助于寻找同样的人。“当身份提供商和服务提供商无法直接通信时,ECP配置文件可启用单点登录。ECP充当服务提供商和身份提供商之间的中介。”更多信息ECP配置文件的问题在于很少使用或支持它。另外,我不确定它是否能满足您的要求。这在很大程度上取决于身份提供商提供的支持。在某种程度上,它将符合要求,允许我在不重定向的情况下对用户进行身份验证。他们还告诉了我keydape(一种支持ECP配置文件的SAML IdP)。我要试一试,看看会发生什么。谢谢你的回复,很有帮助。