IDP如何连接到SSO中的端点应用程序?

时间:2014-06-02 07:35:35

标签: salesforce saml saml-2.0

这是我第一次使用SAML在SSO中工作。我们将使用HTTP Post方法,IDP是salesforce。我从网上得到了以下步骤。

  1. 用户首次访问自定义应用程序
  2. 服务提供商安全筛选器检查安全上下文是否可用 并使用SAML SSO请求将用户重定向到IDP
  3. IDP通过身份验证对话框向用户提出质询,并将用户重定向到 用户通过身份验证后请求声明使用者服务(RACS)
  4. RACS验证来自IDP的响应,建立安全上下文并重定向用户 到原始应用程序端点
  5. 服务提供商安全过滤器强制使用有效的安全上下文,并允许用户访问自定义应用程序。
  6. 这里我的问题是IDP需要审核应用程序端点。这里SAML在公共网页和IDP之间播放以发起SAML请求/响应。那么IDP如何连接到端点?是否遵循任何其他语言来连接和验证端点?其他如何连接?你能不能取悦一下这个概念?

1 个答案:

答案 0 :(得分:1)

在身份提供程序中配置SAML期间,您将定义一个AssertionConsumer端点,该端点是您希望从IDP接收响应的应用程序的URL。身份验证后,IDP通过向其发送SAML响应消息来连接到此端点。 IDP通常通过对SAML消息进行数字签名来对端点进行身份验证,然后验证SAML消息的有效性和信任。

在IDP和SP之间发送SAML消息的方式(=将IDP连接到端点)称为绑定。绑定定义了如何使用现有协议(如HTTP)准确传递SAML消息,即它告诉应该发送哪些参数,应该使用哪种HTTP方法......绑定是SAML 2.0标准的一部分,你可以在它们如何在SAML 2.0 specification中发挥作用。

IDP不直接与您应用程序中的原始URL通信(即原始应用程序端点")。成功验证SAML响应(在断言消费者端点接收)后,用户可以完全确定将用户发送到正确目的地的过程。例如,在Assertion Consumer端点和"原始应用程序端点"是同一个应用程序的一部分并共享安全上下文,您可以简单地发送HTTP重定向,而不需要在这个"最后一英里"。