使用基于SAML的基本身份验证进行身份验证？

Question

我有一个用例，其中Web应用程序需要让用户以两种不同的方式进行身份验证，但是通过SAML使用相同的用户数据存储（也称为IDP）。

• 用户的浏览器被重定向到IDP并使用SAML断言（又名WebSSO配置文件）重定向回来。
• 用户向SP提出请求，通过基本身份验证提供其凭据。然后，SP需要将用户的凭证发送给IDP，IDP将通过后向通道（服务器到服务器）提供断言。

我使用的是Spring Security SAML扩展程序。 Spring SAML中的示例应用程序包含用户名和密码的基本身份验证以及基于SAML的身份验证，但Basic Auth部分使用securityContext.xml文件中定义的本地帐户。我需要在IDP上使用用户帐户。这可能吗？如果是这样，我该如何配置Spring SAML？

Answer 1

没有标准的SAML WebSSO机制允许SP通过提供其凭据来请求特定用户的断言。您可能希望使用其请求安全令牌方法（RST / RSTR调用）来查看涵盖此类用例的WS-Trust标准。另一种非常标准化的方法是Client Credentials grant of OAuth 2.0。两者都超出了Spring SAML的范围，但可以与它结合使用。