實施SAML聲明

Question

我有一個Java Web應用程序，我想將其作爲服務提供者並實施SAML。我不確定如何去做的工作流程。

我有read this SO question但仍然無法完全理解。 在他們說他們需要向IDP發送請求的問題中，如果我是對的，則稱爲聲明。

如何創建斷言？我在那裏看到了樣品。但是，在哪裏傳遞登錄憑證？

另外我該如何使用IDP註冊我的應用程序，並且是否需要安裝由IDP提供的一些證書？什麼是工作流程？

感謝

Answer 1

通常使用某種形式的第三方軟件來提供SAML的集成。這個例子是OpenAM和Shibboleth。使用類似這樣的軟件是一個好主意SAML是一個複雜的協議，很容易犯錯誤，讓您的解決方案容易受到攻擊。

我有一篇關於SAML的博客文章以及您可以查看的工作流程。
This one about SAML和this one about the SAML Web profile flow要

如果你堅持做全集成自己的代碼。 OpneSAML是您可以使用的一個庫。這將要求您對SAML有一個很好的理解。 我的書A Guide to OpenSAML對SAML和OpenSAML庫有很好的介紹。

我也有一些blog posts on OpenSAML

關於您的問題。斷言是從IDP發送給您的東西，這是用戶身份驗證的證明。你需要做的是發送一個AuthnRequest給IDP來啓動和認證。

IDP上的註冊完全取決於在IDP方面用什麼軟件來實現SAML。通常，它涉及到向IDP發送SAML元數據XML。這是一個包含證書，端點等的配置文件。這是一個post on SAML Metadata
作爲回報，IDP會向您發送您用於與之通信的元數據。