到目前为止我所知道的是,要启用任何应用程序SSO,必须有一个身份提供者参与SSO游戏。所以直接依赖IDP,因为SP需要"知道" IDP是谁。 SP可以使用通用的saml通信机制,可以与我的客户使用的任何IDP一起使用吗?或者我需要根据客户支持的IDP建立不同的saml通信器?
原因:我们公司的一位客户正在为其员工使用Okta,并希望我们启用我们的应用程序Okta,以便其员工不再需要记住我们网站上的凭据。没关系。现在,如果任何其他客户带有其他IDP(例如PingOne),我们是否需要再次使用才能启用xyz IDP?或者我们现有的实施方式只会添加IDP网址?如果我在这里遗漏任何大图或关键概念,请告诉我。 附:我们的应用程序在.NET平台上。
答案 0 :(得分:1)
不幸的是,如果用户想要使用新的IDP,则需要创建新的关联。 这是有充分理由的。你需要说你信任国内流离失所者。 IDP是保证用户是他们所说的人的人。因此,您必须确保您信任它来为您的系统验证用户身份。
您可以做的是允许客户定义要使用的IDP,前提是IDP仅允许对该客户用户进行身份验证。 如果你想这样做,我建议使用一些第三方软件。