我正在开发基于SAML 2.0的SSO集成。除了1件事,我能够几乎端对端地进行集成。 SP正在向IDP发送SAML authn请求,并且IDP正在使用SAML authn响应进行响应。这里的IDP是CA Siteminder,SP是Picketlink Over JBoss 5.1。但是,应用程序本身(配置为SP)如何知道用户已经由IDP进行了身份验证。这会自动发生吗?如何阻止应用程序再次提示用户?我相信,我应该禁用我的应用程序中已有的所有身份验证机制?这是真的,还是有其他办法吗?
答案 0 :(得分:0)
SP不知道用户是否具有活动的IDP会话。如果没有本地SP会话,那么您的应用程序将向IDP发出AuthnRequest。如果用户已使用IDP上的活动会话登录,则IDP通常会为您的SP生成新的SAML响应,而不会提示用户再次登录(因为他们有活动会话)。如果呈现AuthnRequest的用户没有活动会话,则由IDP来正确地验证用户并将SAML响应发送回SP。
此流假定您没有SP应用程序的本地登录功能,并且用户必须通过IDP。如果你有本地登录,那么试图找出哪些用户重定向验证的地点和时间会变得更加复杂。
HTH 伊恩