SAML响应身份验证

Question

场景：

1. 浏览器（用户）从服务提供商（SP）请求资源。
2. SP将（使用SAML请求）重定向到身份提供商（IdP）。
3. 自首次登录以来，用户向（IdP）提供他/她的有效凭证。
4. IdP然后将浏览器（包含SAML令牌的SAML响应）重定向到SP页面。
5. 应用程序具有指向不同应用程序的链接。第二个应用程序需要使用相同的IdP验证用户凭据。

用户点击该链接并浏览器打开第二个应用程序。浏览器包含来自SP的相同SAML响应。

在第5步中，如何使用SAML响应对用户进行身份验证，并允许用户自动登录。

我还需要其他SP吗？ 我将无法使用步骤1中的SP，因为它是外部应用程序。

感谢您的帮助

Answer 1

如果第二个应用程序位于不同的管理域中，则应通过其自己的SAML SP启动与IDP的另一个SAML请求/响应交换。如果它位于同一个域中，您可以在第一个应用程序和第二个应用程序之间传递域内凭据（例如cookie）（或者也可以依赖完整的SAML）。您永远不会重复使用相同的SAML响应，因为这只是一次性使用。