Authentication 静默SAML身份验证？

我正在尝试使用SAML协议对用户进行身份验证。 到目前为止，我在两个不同的身份提供者（Auth0和OneLogin）中有两个应用程序要测试。我还有我的服务提供商。 我试图做的是对用户进行身份验证，而不将他们重定向到任何身份提供者登录表单。 大概是这样的：

用户尝试登录到我的应用程序（在React中创建）

我的服务器提供程序接收用户发出的请求并发送 身份提供程序的凭据（用户名和密码） 使用SAML协议

身份提供程序验证凭据（如果是） 正确，将SAML断言返回给我的服务器提供程序；否则,， 它将返回一个错误

取决于发送内容时身份提供商的响应 对用户是否有效

我知道这不是SAML的预期用途，但我想知道是否有办法做到这一点，以及如何做到这一点

---

---

任何帮助或建议都会收到，谢谢。

SAML不是这样工作的，我不知道有任何SAML身份提供商接受用户名和密码

可以在发送给身份提供程序的SAML authn请求中包含用户名，但没有包含密码的规定

我认为，如果您要在不同的网站（即服务提供商）提示用户提供一个网站（即身份提供商）的凭据，则有许多安全注意事项

---

使用SAML SSO，如果用户尚未通过身份提供程序的身份验证，它将提示用户登录。

因此，每当用户登录时，我必须使用身份提供程序的登录表单（除非他们有现有会话），对吗？问题是我希望这对用户是完全透明的，这是正确的。我不知道如何才能让它对用户透明。我发现ECP SAML配置文件有助于实现用户的“透明”身份验证。希望这有助于寻找同样的人。“当身份提供商和服务提供商无法直接通信时，ECP配置文件可启用单点登录。ECP充当服务提供商和身份提供商之间的中介。”更多信息ECP配置文件的问题在于很少使用或支持它。另外，我不确定它是否能满足您的要求。这在很大程度上取决于身份提供商提供的支持。在某种程度上，它将符合要求，允许我在不重定向的情况下对用户进行身份验证。他们还告诉了我keydape（一种支持ECP配置文件的SAML IdP）。我要试一试，看看会发生什么。谢谢你的回复，很有帮助。