在我的场景中,我有以下架构元素:
- SAML安全门户(域A)
- 用户
- SAML安全API(域B,与门户网站不同的域)
- IdP
用户将首先登录门户网站,未经过身份验证时,门户网站会将其重定向到身份提供商进行登录。登录到IdP并因此登录到Portal后,Portal将拥有标识用户的SAML令牌。
现在,此门户网站需要自动调用API(存在于另一个域中),并向其传递标识用户的SAML令牌。问题是门户网站只拥有提供给他的令牌,因此我的问题是:
如何通过调用链传播用户的身份?
例如,是否可以在不同的依赖方之间共享相同的令牌?如果是,那么发布的令牌应该遵守哪些约束以确保它可以被不同的实体“共享”?
非常感谢提前!
答案 0 :(得分:0)
一种方法可能是门户而不是直接调用API,而应该将用户重定向到API。
这样API将发现用户没有有效会话,将重定向到用户已经过身份验证的IdP。然后,IdP将使用API的SAML响应重定向回API。
这对用户来说都是透明的,用户只会看到API的结果。