我一直在阅读使用Shibboleth 2.0作为单点登录技术。我遇到的一个困惑是,身份提供商(IdP)是否有可能向服务提供商(SP)发送一个电子邮件属性,该属性可以向Web应用程序准确地指示谁登录。
例如,如果用户Joe被指示使用电子邮件joe@acme.com在IdP注册(创建用户/通行证等),并且我的应用程序可以唯一地标识joe@acme.com,那么可以进行身份验证响应来自IdP表示1.)是的,这个人就是他说的那个人,以及2.)他的电子邮件是joe@acme.com。
在Shibboleth联盟中,SSO的一个主要优势似乎是应用程序不需要知道任何关于Joe在IdP中选择的特定用户名和密码。真的吗?如果是这样,这是一个好的设计,或者,制造这样一个系统的风险和考虑因素是什么。
如果这是不一个好的设计,有哪些常见的替代方案?
在我的应用程序中,我支持SSL,并且所有人的电子邮件都是已知且独特的。谢谢。
答案 0 :(得分:0)
是的,部分身份验证是识别刚刚登录的人.Shibboleth确实提供了将此作为SAML响应的一部分进行通信的机制。
有关此部分会话的一般说明,请参阅https://spaces.internet2.edu/display/SHIB2/FlowsAndConfig#FlowsAndConfig-4.IdPIssuesResponsetoSP。 IdP发回“断言”,其中包含有关您所希望的人的所有属性。 Shibboleth只能向某些SP发送属性 - 请参阅https://spaces.internet2.edu/display/SHIB2/IdPAddAttributeFilter。