Fatal编程技术网
  • single-sign-on/
  • Single sign on SP启动的SSO和IDP启动的SSO之间的差异

Single sign on SP启动的SSO和IDP启动的SSO之间的差异

single-sign-on

Single sign on SP启动的SSO和IDP启动的SSO之间的差异,single-sign-on,adfs2.0,openam,Single Sign On,Adfs2.0,Openam,有谁能向我解释一下SP启动的SSO和IDP启动的SSO之间的主要区别,包括哪一个是与ADFS+OpenAM联合实施单点登录的更好解决方案?在IDP初始化SSO(未经请求的Web SSO)中联合过程由IDP向SP发送未经请求的SAML响应来启动。在SP Init中,SP生成一个AuthnRequest,作为联合过程的第一步发送给IDP,然后IDP使用SAML响应进行响应。IMHO ADFSv2对SAML2.0 Web SSO SP Init的支持比其IDP Init支持更强大:与第三方Fed产品的

有谁能向我解释一下SP启动的SSOIDP启动的SSO之间的主要区别,包括哪一个是与ADFS+OpenAM联合实施单点登录的更好解决方案?

在IDP初始化SSO(未经请求的Web SSO)中联合过程由IDP向SP发送未经请求的SAML响应来启动。在SP Init中,SP生成一个AuthnRequest,作为联合过程的第一步发送给IDP,然后IDP使用SAML响应进行响应。IMHO ADFSv2对SAML2.0 Web SSO SP Init的支持比其IDP Init支持更强大:与第三方Fed产品的集成(主要围绕对RelayState的支持),因此如果您有选择,您将希望使用SP Init,因为它可能会使ADFSv2的使用更轻松

以下是PingFederate 8.0入门指南中的一些简单SSO说明,您可以浏览这些说明,这些说明可能也会有所帮助--

IDP启动的SSO

来自PingFederate文档:-

在此场景中,用户登录到IdP并尝试访问远程SP服务器上的资源。SAML断言通过HTTP POST传输到SP

处理步骤:

  • 用户已登录到IdP
  • 用户请求访问受保护的SP资源。用户未登录到SP站点
  • 可选地,IdP从用户数据存储中检索属性
  • IdP的SSO服务向浏览器返回一个HTML表单,其中包含一个SAML响应,该响应包含身份验证断言和任何附加属性。浏览器会自动将HTML表单发回SP
    • SP启动的SSO

    来自PingFederate文档:-

    在这种情况下,用户尝试直接在SP网站上访问受保护的资源,而无需登录。用户在SP站点上没有帐户,但有一个由第三方IdP管理的联合帐户。SP向IdP发送身份验证请求。请求和返回的SAML断言都通过HTTP POST通过用户的浏览器发送

    处理步骤:

  • 用户请求访问受保护的SP资源。请求被重定向到联合服务器以处理身份验证
  • 联合服务器向浏览器发送一个HTML表单,其中包含来自IdP的SAML身份验证请求。HTML表单将自动发布到IdP的SSO服务
  • 如果用户尚未登录到IdP站点,或者如果需要重新验证,IdP将要求提供凭据(例如ID和密码),然后用户登录
  • 可以从用户数据存储中检索关于用户的附加信息,以包含在SAML响应中。(这些属性是作为IdP和SP之间的联合协议的一部分预先确定的)

  • IdP的SSO服务向浏览器返回一个HTML表单,其中包含一个SAML响应,该响应包含身份验证断言和任何附加属性。浏览器会自动将HTML表单发回SP。注意:SAML规范要求对POST响应进行数字签名

  • (未显示)如果签名和断言有效,SP将为用户建立会话,并将浏览器重定向到目标资源

    • SP启动的SSO 用户比尔:“嘿,吉米,给我看看那份报告”

    警司吉米:“嘿,我还不知道你是谁。我们这里有一个流程,所以你先去和国际流离失所者鲍勃核实一下。我相信他。”

    国内流离失所者鲍勃:“我看到吉米派你来的。请给我你的证件。”

    比尔用户:“嗨,我是比尔。这是我的证件。”

    鲍勃:“嗨,比尔。看起来你已经退房了。”

    鲍勃的IdP:“嘿,吉米。这家伙比尔检查了,这里有一些关于他的额外信息。你可以在这里做任何你想做的事。”

    SP吉米:“好的,很酷。看起来比尔也在我们的已知客人名单上。我会让比尔进来的。”

    IdP发起的SSO 用户比尔:“嘿,鲍勃。我想去吉米家。那边的保安很严密。”

    鲍勃:“嘿,吉米。我相信比尔。他退房了,这里有一些关于他的补充信息。你可以在这里做任何你想做的事。”

    SP吉米:“好的,很酷。看起来比尔也在我们的已知客人名单上。我会让比尔进来的。”

    我将在这里详细介绍,但仍然保持简单:。

    这还有很多,但这是一个高层次的概述

    Procore支持SP和IdP启动的SSO:

    身份提供程序启动(IdP启动)SSO。使用此选项,最终用户必须登录到身份提供商的SSO页面(例如,Okta、OneLogin或Microsoft Azure AD),然后单击图标登录并打开Procore web应用程序。要配置此解决方案,请参阅为Microsoft Azure AD配置IdP启动的SSO,为IdP启动的Okta SSO配置Procore,或为OneLogin配置IdP启动的SSO。 或
    服务提供程序启动(SP启动)SSO。此选项称为Procore发起的SSO,使您的最终用户能够登录到Procore登录页面,然后将授权请求发送给标识提供商(例如,Okta、OneLogin或Microsoft Azure AD)。一旦IdP验证了用户的身份,用户就登录到Procore。要配置此解决方案,请参阅为Microsoft Azure Active Directory配置Procore启动的SSO,为Okta配置Procore启动的SSO,或为OneLogin配置Procore启动的SSO。

    Re SP启动的SSO-上面第3点提到“如果用户尚未登录到IdP站点,或者如果需要重新身份验证,IdP将要求提供凭据(例如ID和密码)并让用户登录。”系统如何确定用户是否登录到t