Security 使用SSO和Shibboleth 2.0的一般问题-将属性从IdP传递到SP
我一直在阅读关于使用Shibboleth 2.0作为单一登录技术的文章。我的一个困惑是,身份提供商(IdP)是否可能向服务提供商(SP)发回一个电子邮件属性,该属性可以向web应用程序准确指示谁正在登录 例如,如果指示用户Joe使用电子邮件在IdP注册(创建用户/通行证等)joe@acme.com,并且我的应用程序可以唯一标识joe@acme.com,那么来自IdP的身份验证响应是否可以表明1.)是的,此人就是他所说的人,2.)他的电子邮件在这里joe@acme.com. 在Shibboleth联盟中,SSO的一个主要优势似乎是,应用程序不需要知道Joe在IdP上选择的特定用户名和密码的任何信息。这是真的吗?如果是的话,这是一个好的设计吗?或者,建立这样一个系统的风险和考虑因素是什么 如果这不是一个好的设计,那么常见的替代方案是什么Security 使用SSO和Shibboleth 2.0的一般问题-将属性从IdP传递到SP,security,authentication,shibboleth,Security,Authentication,Shibboleth,我一直在阅读关于使用Shibboleth 2.0作为单一登录技术的文章。我的一个困惑是,身份提供商(IdP)是否可能向服务提供商(SP)发回一个电子邮件属性,该属性可以向web应用程序准确指示谁正在登录 例如,如果指示用户Joe使用电子邮件在IdP注册(创建用户/通行证等)joe@acme.com,并且我的应用程序可以唯一标识joe@acme.com,那么来自IdP的身份验证响应是否可以表明1.)是的,此人就是他所说的人,2.)他的电子邮件在这里joe@acme.com. 在Shibboleth
在我的应用程序中,我支持SSL,我所有的个人电子邮件都是已知的和唯一的。谢谢 是的,身份验证的一部分是识别刚刚登录的用户。Shibboleth确实提供了将此作为SAML响应的一部分进行通信的机制
有关此部分对话的一般说明,请参阅。IdP发回一个“断言”,其中包括您想要的人的所有属性。Shibboleth只能向某些SP发送属性--请参阅。谢谢,是的,IdP可以通过auth传回许多个人属性,您只需请求它们。我使用的是ProtectNetwork,使用的是IIS 7和Shibboleth ISAPI,一旦配置好,它就很棒了。