我需要成为SAML解决方案中的服务提供者,并想知道断言的处理是如何工作的。我找不到答案here。
我想这句话会说:“我是John Doe,我的身份证是:999”?我是否需要与身份提供商“同步”的用户列表?我是否需要访问控制列表与SAML断言具有相同的ID?
场景:我有一个带ACL的数据库。我将成为服务提供商,而远程第三方系统将成为身份提供商。
我不明白远程系统如何知道我的访问控制列表中的用户能够授权任何人。
答案 0 :(得分:1)
SAML上的用户ID与SP上的用户之间的映射不在SAML规范本身中。我建议你在SAMLOverview中查看第5.4节“建立和管理联合身份”。这应该可以帮助您确定最适合您的方案的方法。
对于我所使用的系统(作为多个客户端/ IdP的SP),我们有一种机制,客户可以通过该机制将自己的标识符与我们系统上的用户相关联;此机制不在SAML实现中。当客户端向我们发送SAML断言时,我们希望这些断言识别使用这些标识符的用户(以及使用另一个共享标识符识别客户端本身)。