是由IdP还是SP发起的SAML工件绑定？

Question

我正在探索SAML身份验证的不同绑定类型。以下是我的理解：

• SP将向IdP发送一个神器，IdP会将相同的神器发送回SP。这在SP和IdP之间造成了一次握手。
• SP现在将通过反向通道回应与神器相对应的实际SAML。

但是，如果IdP启动了Artifact绑定，那么查询是怎样的，IdP如何知道以下内容：

• 要投票的哪个SP？
• 何时轮询SP？
• 属性断言SAML消息位于SP端。那么如果没有事先与SP通信，IdP将如何知道相应的工件？

Answer 1

我认为对于神器绑定工作的hos存在误解。当用于将Assertion从IDP传输到SP时，Artifact绑定就像这样工作。

1. IDP通常通过浏览器向SP发送一个神器。
2. SP通常通过反向通道将工件发送到IDP。 ex SOAP。
3. IDP以包含断言的ArtifactResponse响应。

在进行身份验证时，从更大的角度来看，流程就像这样

1. 用户尝试访问由SP管理的网站
2. SP拦截用户并发现它尚未经过身份验证。
3. 将用户发送到IDP进行身份验证。
4. 用户是autenticated并创建了断言。
5. 用Assertion将用户与SP一起发回。如果使用工件绑定，则会使用工件发回用户。
6. SP通过反向通道交换Assertion的工件。