我对SP和IdP发起的SSO有几个问题。
使用IdP -iniated SSO,我的www.application.com网址是否指向IdP服务器?如果它指向实际应用程序,IdP实际上是如何工作的?
对于SP发起的SSO,是由应用程序安全层强制执行的身份验证,例如,开发商必须介绍什么?它可以在Web服务器层或Web服务器前面的代理上实现吗?
谢谢!
答案 0 :(得分:0)
使用IDP init,用户访问IDP的URL,进行身份验证并转发到您的应用程序。
对于第二个问题,所有提到的替代方案都是可能的。 可以使用OpenSAML或SpringSAML
在应用程序中强制执行该操作可以在某些应用程序服务器上websphere
可以使用单独的软件充当代理ex。 OpenAM shibboleth
所有人都有利弊,但这是对这个问题的深入讨论。