Single sign on 是否存在IDP->；至IDP->；认证？（SAML2）

是否存在IDP到IDP身份验证这样的想法

在我工作的地方，我们有以下设置：

[客户IDP][Work SP]

--客户端通过其门户进行身份验证

--客户端导航到我们的站点，因为我们被设置为sp，然后通过saml2对我们的站点进行身份验证

他们想要什么

[客户IDP][Work SP]

[工作IDP][VendorSP]

--客户端通过其门户进行身份验证

--客户端导航到我们的站点，因为我们被设置为sp，然后通过saml2对我们的站点进行身份验证

--客户通过现场导航到供应商，并通过工作IDP进行身份验证

如果一切都通过一个IDP，这将是很容易的

我被要求做的事情可能吗？我从来没有听说过像IPD到IDP这样的通信。这就像用你的苹果账号登录谷歌一样

---

如果有人有什么见解或建议，我将不胜感激

这实际上很常见

技术术语是R-STS

符号“（Server-STS/R-STS）”表示IDP本身是否可以作为IDP（即，客户端可以将其用于身份验证），以及IDP是否可以作为最终IDP路径上的中间步骤

许多IDP可以同时是SP和CP（索赔提供商），例如ADF可以同时是SP和CP

如果你有：

应用-->IDP1-->IDP2

然后IDP1是应用程序的CP和IDP2的SP

它将如何正常工作，例如

• 应用程序-->IDP1
• IDP1显示主域发现屏幕
• 用户选择IDP2
• 用户在IDP2上进行身份验证
• SAML令牌返回到应用程序下游

---

我所知道的每一个流行的SAML工具，无论是商业的还是其他的，通常都可以充当服务提供者和身份提供者。有些工具可以在本地充当联邦“中心”。使用您提供的“名称”，该模型看起来像这样：

Client IdP --> SP|Work|IdP --> Vendor SP

与完成客户端IdP到工作SP事务的产品相比，支持集线器概念的产品的“特殊要点”是，该产品通过另一个断言作为一个单独的流来管理身份属性的转发，将其交给某个外部机制，该机制会反过来启动从工作IdP到供应商SP的新联合，结果如下所示：

Client IdP --> Work SP --> user service --> Work IdP --> Vendor SP

为集线器模型提供的产品通常可以支持供应商SP发起的事务，这些事务一路返回到客户端IdP，而无需任何用户交互，仅在工作集线器发生重定向。我所看到的“用户服务”模型是通过一个dock或portal构建的，用户在其中单击某个东西来启动第二个事务

---

所有这些都是要说的。。。只要您有一个“通用”SAML产品，您当然可以达到您想要的最终状态，但是您可用的模型取决于您拥有的工具。

在SAML中没有STS。SAML只知道IdP代理的概念。SP IdP Proxy IdP IdP Proxy只能与SP启动的SSO流一起工作。SP-->SAML AuthnRequest 1-->IdP Proxy-->SAML AuthnRequest 2-->IdP SP一些产品可以充当“联合中心”，在这里，SAML IdP上的身份验证可以通过其他方式/技术（如SAML、OIDC、，WS-Federation，例如SAML SP SAML IdP/OIDC依赖方OIDC提供商SAML SP SAML IdP/SAML SP SAML IdP/WS-Federation依赖方WS-Federation发布方@BernhardThalmayr的评论都是真实的。。。我会注意到，实际上并没有很多产品提供代理模型。所描述的集线器模型正变得越来越普遍，但仍然不是普遍存在的。最后，我从未听说过rbrayb在SAML中的“符号”（Server-STS/R-STS），这很有意义！我不确定我们的客户使用的是什么平台，可能是F5。我们在家里用钥匙斗篷。谢谢你的回复！