我正在使用SAML2.0。我们的一个客户(IDP)要求我们(SP)发送SP发起的请求而不发送AuthnRequest。
他们没有发送AuthenRequest,而是要求我们(SP)在URL上发送一个参数,告诉他们该请求来自指定的SP。在没有AuthnRequest参数的情况下实现SP发起的请求是行业标准吗?
答案 0 :(得分:2)
我实际上会调用此IDP,因为从SAML的角度来看,IDP会发送第一条消息。 IDP启动是标准的一部分,因此它不会破坏SAML。
但是如果你要让SP告诉IDP开始身份验证,我会认为不要让SP通过使用SAML AuthnRequest启动它是不好的做法。
这将是一种更具互操作性的方法,可以更轻松地使用标准SAML产品,而无需进行自定义。
答案 1 :(得分:0)
不,不是。但是,根据我们的经验,一些IdP不支持SP发起的SSO。相反,它们需要重定向到IdP,包括标识SP的参数。然后,这将触发IdP发起的SS到SP。这不包含在SAML v2.0规范中,因此包含参数名称等的URL格式不是标准化的。
我建议使用IdP进行双重检查,以确定它们是否支持根据SAML规范支持SP启动的SSO。也许他们根本无法获得这种支持。如果他们不是,那么你唯一的选择是使用这种非标准化的方法。