Service 在SAML2.0中，Web应用程序作为服务提供者需要做哪些更改？

我一直在阅读SAML2.0及其实现，但到目前为止，我还没有找到任何关于与web应用程序集成的相关资料

我想知道web应用程序（即www.my-app.com）需要做哪些更改，以便当用户输入此URL时，它将被重新路由到服务提供商以生成SAMLRequest等，并与IdP通信

其次，当IdP将SAMLResponse发送回SP（断言使用者服务）时，SP如何将响应结果提供回web应用程序

提前谢谢

“web应用程序是受保护的资源”，您希望使用SAML作为协议

为此，必须为应用程序提供一个SAML客户端堆栈。参考：

应用程序是.NET还是Java

另一种选择是使用中间SP作为桥接器。大多数IDP也可以作为SP运行，它们支持WS-Fed和SAML。所以你可以以WS-Fed的身份进入，以SAML的身份离开

---

不，您可以使用一个SP并将多个应用程序连接到它。

当您考虑作为服务提供商（SP）请求安全令牌的体系结构时，上面的答案非常好。协议的选择很重要。如果您想成为云供应商，SAML是当前领先且最受支持的协议。如果这是用于内部集成，并且您的技术堆栈是.NET，那么WS-Federation（包含SAML）是协议的另一种选择

---

您还询问，SP如何将响应结果返回给web应用程序？在联邦的世界中，每个web应用程序通常通过HTTP会话cookie的一些实现来管理自己的会话。SSO IdP服务器有一个会话cookie，您的SP web应用程序也有自己的会话cookie。收到SAML响应后，您的应用程序将验证SAML（例如数字证书、颁发者、受众等）。如果有效，它将读取“subject”和任何属性，然后为应用程序创建HTTP会话cookie。如果您使用的是某种基于容器的安全模型，“主题”可以声明给容器，或者您的应用程序可以读取HTTP会话cookie，或者您可以实现自己的安全模型。

这个问题令人困惑。您要求“充当服务提供商”，然后要求“SP将响应结果提供回web应用程序”。那么，您希望web应用程序充当SP还是SP是独立的？还有，为什么会有SP？为什么你的应用程序不能。直接与IDP通信？澄清一下，web应用程序是受保护的资源。在这种情况下，SP中可能会有多个受保护的资源。这是否意味着我需要配置多个SP来处理每个受保护的资源？在IdP和web应用程序之间可能会有一个SP应用程序来处理SAMLRequest/SAMLResponse，从那时起，将结果返回给web应用程序以创建自己的安全上下文。在这种情况下，必须修改web应用程序，以便处理来自SP应用程序的（“主题”）和任何其他属性的结果。有许多商业供应商实现了使用SP服务器角色来处理SAMLRequest/SAMLResponse协议。我经常与具有SP服务器角色的PingFederate合作。为了在PingFederate处理了相同的响应后将所谓的最后一英里集成到web应用程序，有两个选项，一个称为无代理引用ID，这是一组REST调用，用于将标识接收到Java应用程序中。另一个是Java代理，它使用PingFederate OpenToken将主题移动到Java应用程序中。。。在应用程序中，读取“主题”，然后断言会话。无代理引用ID和Java代理都可以移动主题以及来自SAML令牌的任何属性。谢谢Eric！很高兴听到有这样一个角色，SP服务器角色，这是我正在寻找的。无代理参考ID概念是否可在线获取？所有ping信息均可在其网站上获取。特别是他们的技术的无代理工具包在他们的电脑上。好的。。此应用程序将使用Java。您是否有关于“您可以拥有一个SP并将多个应用程序连接到它”的参考资料？谢谢