我正在通过遵循此auth0教程来理解SAML和IDP / SP模型。
https://auth0.com/docs/protocols/saml/samlsso-auth0-to-auth0
在本教程中,您将创建两个auth0租户。
第一个租户(租户1)是服务提供商,第二个租户(租户2)是身份提供商。
在设置第二个租户的部分中,我很难理解此行中的描述:
在本部分中,您将配置一个Auth0租户(租户2)作为身份提供者。您可以通过注册应用程序来完成此操作,但是在这种情况下,您注册的“应用程序”实际上是租户1(SAML服务提供商)的表示。
对此我感到困惑,因为我认为服务提供者实质上是您需要通过IDP访问的所有不同应用程序的包装。因此,按照我的解释,我认为我们创建的应用程序将存在于第一个租户中。
有人会解释为什么在此示例中我们设置IDP来包含应用程序,以及它如何表示服务提供商(租户1)?
答案 0 :(得分:3)
同意本文有些令人困惑。
关键是“在此步骤中,您将测试示例HTML应用程序,该示例HTML应用程序使用您在租户1中设置的Auth0 SAML连接,以针对Sant Identity 2的租户2通过SAML执行SSO。”
在SAML中,有两种SP。
SP可以是应用程序,因此路径为:
应用程序-> SAML IDP
或者您可以拥有SP-STS(安全令牌服务),即充当ID的中间IDP。
这里的路径是:
应用程序-> SAML SP-> SAML IDP
基本上,SAML SP只是直通的。
通常情况是,当您进行身份验证时,应用程序将重定向到STS。您可以在此处进行身份验证。但是,如果此STS知道上游还有另一个STS,它将通过Home Realm Discovery询问您要使用哪个STS。