我正在为Web应用程序设置基本的SAML支持。每个用户此应用程序(通过电子邮件地址标识)可以属于该应用程序的多个组织/公司。我想让各个组织通过SAML为其组织成员的用户启用SSO。
我(SP)和Idp(例如Okta,OneLogin)之间的通信在技术方面工作得很好。但我还没弄清楚如何确保请求通过SAML访问我的应用程序的用户实际上是她假装的用户,因为她可能在为组织启用SAML之前注册了用户配置文件
是否有某种"链接"需要进行以便连接"具有特定Idp的现有用户配置文件?
答案 0 :(得分:0)
IdP包含一组用户身份。当您的SP和IdP交换其元数据时,您设置了一个信任圈,因此所有IdP包含的用户都将受到SP的信任。
某些IdP能够限制用户访问哪些SP或用户的大量信息将发送给SP,但最后,您作为SP可能信任IdP提供的所有信息。< / p>