在成功进行IDP身份验证后，SAML会将每个SP请求重定向到IDP以检查身份验证吗？

Question

本文首次展示了SAML身份验证的过程： https://developers.google.com/google-apps/sso/saml_reference_implementation

我的应用程序目前符合它。但是，当用户单击SP提供的页面上的链接时，请求将重定向到IDP以进行身份​​验证。用户可以清楚地看到地址栏中的IDP URL并感觉很慢。

我的案例： SP位于Jetty，IDP位于Jboss6.2，它们都使用相同的域名支持Apache。

我正在使用带有SAML POST绑定的picketlink2.6。

我想知道是否：

1. 这是SAML设计的吗？
2. 我应该停止重定向到IDP，只检查本地SP上的身份验证？我觉得这个缺点很明显 - 当用户在App B中注销时，App A无法知道用户是否已注销。
3. 如何加快重定向？

Answer 1

1. 不，SAML用于验证初始请求。然后，您应该在SP应用程序中建立会话。这通常由会话身份验证cookie完成。
2. 如果您需要，可以在SAML标准för单点注销中获得支持，这将确保注销终止所有SP和Idp中的所有会话。
3. 如果只是第一次出现，你就不必这么做了。