我无法理解服务提供者的入站身份验证配置和身份提供商的联合身份验证器配置之间的区别。
在此过程中,我没有配置身份提供程序,但身份验证有效。但我在身份提供商的联合身份验证器配置(SAML)中发现了一些类似的配置。我无法理解为什么需要联合身份验证器配置。
我理解如下。
当用户信息(id,密码等)存储在IS服务器中并且在IS服务器中处理认证过程时,SP(服务提供商)的入站认证配置就足够了。不需要配置IDP(身份提供者)。是不是?
当用户信息(ID,密码等)存储在另一个IS服务器或其他公司的服务器(google,facebook)时 并且认证过程是在另一个IS服务器或其他公司的服务器(google,facebook)中处理,联合身份验证器配置IDP(身份提供者)就足够了。不需要配置SP(服务提供商)。是不是?
在这种情况下,不需要配置身份提供程序。仅使用入站身份验证配置(SAML)时,它会在此实例中处理请求。在配置联合身份验证器配置(SAML)时,它会将请求转发给其他实例。是不是?
我想知道我的想法是否正确。
请告诉我以下案例的一些例子。
答案 0 :(得分:6)
服务提供商是一个应用程序。您需要为此应用程序添加身份验证。因此,您使用某些Identity Provider来配置身份验证功能。假设您使用WSO2IS,则需要在WSO2IS中配置SP相关配置。您可以使用服务提供商配置和入站身份验证来向SP注册SP和IDP可以相互通信的所需协议。
现在,你的IDP是什么?是的,您的IDP是WSO2IS。登录您的应用程序的用户也在WSO2IS内。用户可以通过提供用户/密码登录。
说,您的应用程序需要社交登录。您需要在自己的应用中添加Google登录信息。但您的应用程序的IDP是WSO2IS,您需要添加新的IDP作为Google。那么,我们能做什么?您可以使用身份提供程序配置在WSO2IS中注册IDP。通过定义出站身份验证配置,可以将此IDP映射到应用程序。在这里,您可以将WSO2IS和Google定义为您的应用程序的IDP。我建议您通过this博客文章,通过WSO2IS了解这些类型的用例。通常它被称为联合身份验证。
除了一个SAML2 Bearer断言授权类型的情况之外,没有任何要求仅定义IDP。