Websphere 澄清「；WAS仅支持IdP启动的SAML web SSO；

有人能给我解释一下吗，

---

在IBMInfoCenter中，他们提到“WebSphereApplicationServer只支持IdP发起的SAMLWebSSO”。我有两个J2EE应用程序，部署在WASV8.5的两个不同实例上，这些应用程序使用基于表单的身份验证机制对用户进行身份验证。我想在它们之间配置SAML SSO，其中我将使用外部身份提供程序，我将配置每个WAS实例作为服务提供程序，上述语句是否意味着我无法实现SAML SOO，因为身份验证将在服务提供程序中进行，如果没有，请向我解释一下上面的说法好吗？

在SAML版本1中，用户总是从Idp开始，然后跟随指向Sp的链接。登录是在Idp启动的

对于SAML版本2，将

AuthnRequest

消息添加到协议中，使用户可以从Sp启动。然后Sp向Idp发出

AuthnRequest

消息，Idp回复包含断言的

Response

消息

---

看起来WAS只支持第一种方案，这意味着Sp启动的自动登录是不可能的。但是，您始终可以在Sp起始页上提供指向Idp的链接，以便手动登录。

WebSphere Application Server当前不支持真正的Sp启动的SSO。如前一个答案所述，它支持Idp启动。但是，它还支持一种称为“书签式SSO和TAI过滤器”的混合，您可以将客户端发送到WebSphere，它重定向到Idp，然后Idp将SAMLResponse发送回WebSphere。这使您不必直接向IdP发送客户端。这是一个非常常见的用例

您可以在此处阅读有关书签样式SSO和TAI筛选器的信息：

“书签样式SSO和TAI筛选器：

考虑书签式SSO，它传统上适合于SP启动的SSO。用户访问业务应用程序时无需首先对IdP进行身份验证。WebSphere SAML TAI可以配置为启动SSO。每个SSO合作伙伴配置包含一个IdP登录应用程序和一个路由筛选器。每个筛选器定义一个sel列表表示与HTTP请求匹配的条件的检查规则，以确定是否为SSO伙伴选择了HTTP请求。筛选规则是HTTP请求头、引用数据和目标应用程序名称的组合。WebSphere SAML TAI运行时环境根据所有筛选规则检查用户请求s以唯一标识SSO合作伙伴，并将请求重定向到选定的IdP登录应用程序。TAI筛选器允许IdP启动的SSO提供与SP启动的SSO和IdP发现服务组合类似的功能。”