標準SSO例程涉及將用戶從SP主動重定向到IDP並返回。雖然這個機制有幾個很大的優點,但缺點是重定向可能會讓用戶感到困惑。 (「嘿,我只是在azure.com上,現在我是live.com吧?」)。IDP和SP身份驗證流程無需重定向到IDP
我想支持SP的網站中包含用戶名/密碼登錄表單的場景。在這種特定的情況下,我既是SP和IDP的所有者,也完全控制了它的實施。如何才能達到這樣的狀況?我能想象下面的辦法:
<form action="https://idp.contoso.com/login" method="post">
<input type="hidden" name="issuer" value="sp.contoso.com">
Username: <input type="text" name="username"><br>
Password: <input type="text" name="password"><br>
<input type="submit" value="Submit">
</form>
- 包括以上SP的網站形式。
- IDP接受POST,驗證證書,並創建一個SAML響應
- IDP返回網站有自動提交表單POST的的SAML響應發行人的SAML2終點URL(如https://sp.contoso.com/saml)
- SP接受POST,只會驗證SAML響應並根據SP特定標準構建用戶會話
這是一個可行的解決方案嗎?如果是這樣,請以任何符合標準的產品(如WSO2 Identity Server)的方式支持此項目?如果不是,在使用SP登錄表單的同時,對IDP進行身份驗證的正確方法是什麼?
聽起來像你想要的東西比SAML更符合STS的路線......我建議尋找WS-Trust之類的東西。 – 2015-02-12 13:39:04