静默的SAML身份验证?

时间:2019-03-14 01:46:55

标签: authentication saml

我正在尝试使用SAML协议对用户进行身份验证。 到目前为止,我在两个不同的身份提供者(Auth0和OneLogin)中有两个应用程序要测试。我也有我的服务提供商。 我想做的是对用户进行身份验证,而不将其重定向到任何Identity Provider登录表单。 像这样:

  1. 用户尝试登录到我的应用程序(由React开发)
  2. 我的服务器提供者收到用户的请求并发送 身份提供者的凭据(用户名和密码) 使用SAML协议。
  3. 身份提供者验证凭据,如果它们是 正确,将SAML断言返回给我的服务器提供程序;除此以外, 它将返回错误。
  4. 取决于身份提供者的响应(如果发送了内容) 给用户还是不给用户。

我知道这不是SAML的预期用途,但我想知道是否有一种方法可以做到这一点,以及如何实现。


任何帮助或建议都会收到好评,谢谢。

1 个答案:

答案 0 :(得分:0)

这不是SAML的工作方式,并且我不知道任何接受用户名和密码的SAML身份提供程序。

可以在发送给身份提供者的SAML身份验证请求中包括用户名,但没有提供密码的规定。

我认为,如果要提示用户输入另一个网站(即服务提供商)上一个网站(即身份提供商)的凭据,则有很多安全方面的考虑。

使用SAML SSO,如果尚未在身份提供者处对用户进行身份验证,它将提示用户登录。