Puede alguien explicarme cuáles son las principales diferencias entre SP inició SSO y IDP inicia SSO son, incluyendo lo que sería la mejor solución para la aplicación de inicio de sesión único en conjunción con ¿Federación ADFS + OpenAM?Las diferencias entre SP iniciaron SSO y desplazados internos iniciaron SSO
Respuesta
En IDP Init SSO (SSO web no solicitado), el proceso de federación se inicia cuando el IDP envía una respuesta SAML no solicitada al SP. En SP-Init, el SP genera una AuthnRequest que se envía al IDP como primer paso en el proceso de Federación y el IDP luego responde con una Respuesta SAML. Soporte de IMHO ADFSv2 para SAML2.0 Web SSO SP-Init es más fuerte que su IDP-Init support re: integración con productos de terceros Fed (principalmente girando en torno a soporte para RelayState) así que si tiene una opción, querrá usar SP- Inicia ya que probablemente te hará la vida más fácil con ADFSv2.
Éstos son algunos simples descripciones de SSO de la Guía PingFederate 8.0 Introducción que se puede perforar que pueden ayudar también - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html
IDP Iniciado SSO
De la documentación PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
En este caso, un usuario inicia sesión en el IdP e intenta acceder a un recurso en un servidor de SP remoto. La aserción SAML se transporta al SP a través de HTTP POST.
Fases de elaboración:
- que un usuario ha iniciado sesión en el IdP.
- El usuario solicita acceso a un recurso SP protegido. El usuario no ha iniciado sesión en el sitio SP.
- Opcionalmente, IdP recupera los atributos del almacén de datos del usuario.
- El servicio SSO del IdP devuelve un formulario HTML al navegador con una respuesta SAML que contiene la aserción de autenticación y cualquier atributo adicional. El navegador automáticamente publica el formulario HTML de nuevo en el SP.
SP Iniciado SSO
De la documentación PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST
En este escenario un usuario intenta acceder a un recurso protegido directamente en un sitio Web de SP sin ser iniciado la sesión. El usuario no tiene una cuenta en el sitio SP, pero tiene una cuenta federada administrada por un IdP de un tercero. El SP envía una solicitud de autenticación al IdP. Tanto la solicitud como la aserción SAML devuelta se envían a través del navegador del usuario a través de HTTP POST.
Fases de elaboración:
- el usuario solicita acceso a un recurso protegido SP. La solicitud se redirige al servidor de federación para gestionar la autenticación.
- El servidor de federación envía un formulario HTML de vuelta al navegador con una solicitud SAML para autenticación del IdP. El formulario HTML se publica automáticamente en el servicio SSO del IdP.
- Si el usuario aún no ha iniciado sesión en el sitio IdP o si se requiere una nueva autenticación, el IdP solicita credenciales (p., ID y contraseña) y el usuario inicia sesión.
Se puede recuperar información adicional sobre el usuario del almacén de datos del usuario para incluirla en la respuesta de SAML. (Estos atributos están predeterminados como parte del acuerdo de federación entre el IdP y el SP)
servicio SSO de la IdP devuelve un formulario HTML al navegador con una respuesta SAML que contiene la afirmación de autenticación y cualquier atributo adicional. El navegador automáticamente publica el formulario HTML de nuevo en el SP. NOTA: Las especificaciones SAML requieren que las respuestas POST estén firmadas digitalmente.
(No se muestra) Si la firma y la aserción son válidas, el SP establece una sesión para el usuario y redirige el navegador al recurso de destino.
Re SP iniciado SSO: el punto 3 anterior dice "Si el usuario no ha iniciado sesión en el sitio IdP o si se requiere una nueva autenticación, el IdP solicita credenciales (por ejemplo, ID y contraseña) y el usuario inicia sesión ". ¿Cómo determina el sistema si el usuario ha iniciado sesión en el sitio IdP? ¿Genera una cookie, por ejemplo? – Edwardo
@Edwardo Su suposición es correcta. Cuando se establece una sesión con un IdP, normalmente el IdP genera una cookie para mantener esa sesión. – jekennedy
Tengo otra pregunta http://stackoverflow.com/questions/43861315/how-to-maintain-state-parameter-in-identity-provider-idp-initiated-saml-sso. ¿Puedes echarle un vistazo? – kawadhiya21
SP Iniciado SSO
SP: "Oye, sabes Sal?"
IdP: "?! Do I ... Oh, eso es bien Sí, sé Sal"
SP: "Ok fresco Voy a ella entrar".
IdP Iniciado SSO
IdP: "Oye Sal me ha dicho que la conoces"
SP: "?.. Yo ... Oh, sí me voy a la dejo en"
No creo que la segunda conversación sea correcta ... en cambio debería ser: IdP: "Oye, aquí hay información sobre Sal, por favor déjala entrar"/SP: "Ok, confío en ti, dejaré que ella en " –
la primera conversación tampoco es correcta: en el primer paso SP aún no sabe nada sobre qué usuario es, solo en IdP el usuario iniciará sesión y se identificará como" Sal " – Allie
La primera conversación debería ser: SP: "Oye, ¿dónde está tu identificación?" IdP: "Espera, lo verificaré. Déjame ver tu identificación, por favor. Bien, hermano, déjala entrar, se llama Sal y ella tiene 21 (opcionalmente)" SP: "Genial amigo, ¡eres increíble! ¡Oye tú, vamos! ! " –
- 1. Cómo implementar SAML SSO
- 2. ¿Qué es SSO
- 3. SSO multiplataforma: ¿por dónde empezar?
- 4. SSO con CAS o OAuth?
- 5. ¿Cuál es el mejor enfoque para SSO con usuarios internos de AD y usuarios externos?
- 6. Web SSO con Java y SAML 2.0
- 7. SSO usando SAML2.0 en asp.net
- 8. ¿Cuál es la diferencia entre OpenID Provider y OpenID WebRing SSO Provider?
- 9. Escribir una aplicación SSO en GAE
- 10. Paso a paso Google SSO (java)?
- 11. ¿Solución de gestión de identidades/SSO?
- 12. Implementar SSO usando CAS + Spring Security
- 13. NTLM V2 SSO Java Servlet Filter
- 14. SAML 2.0 SSO para Ruby on Rails?
- 15. Rechazo de AppCenter debido a SSO
- 16. WSO2 Identity Server y SSO para la aplicación personalizada
- 17. Ordenar hilos para que se ejecuten en el orden en que se crearon/iniciaron
- 18. Android: Google SSO - OAuth o AccountManager? ¿O ambos?
- 19. SSO transparente con SAML (IE, SAML 2.0, ADFS, autenticación Kerberos)
- 20. integración de inicio de sesión vainilla/codeigniter con jsconnect/SSO
- 21. Android SSO (inicio de sesión único) para la aplicación
- 22. Ruby SSO, CAS, oauth, userstore. ¿Que opciones tengo?
- 23. SSO que requiere múltiples intentos para iniciar sesión
- 24. cómo implementar SAML sso usando Java, Java EE
- 25. Integración de membresía de Umbraco con SAML Web SSO
- 26. Nombre de usuario en el encabezado HTTP para SSO
- 27. SSO de Java: autenticación Kerberos contra Active Directory
- 28. Implementación del inicio de sesión único (SSO) con Django
- 29. Las diferencias entre TCP y Retroceso N
- 30. ¿Cuáles son las diferencias entre $ {} y # {}?
ok Gracias .... :) – pbhle