1. Inicio
  2. Pregunta y respuesta
  3. Las diferencias entre SP iniciaron SSO y desplazados internos iniciaron SSO

Las diferencias entre SP iniciaron SSO y desplazados internos iniciaron SSO

2012-10-08 10 views

Respuesta

53

En IDP Init SSO (SSO web no solicitado), el proceso de federación se inicia cuando el IDP envía una respuesta SAML no solicitada al SP. En SP-Init, el SP genera una AuthnRequest que se envía al IDP como primer paso en el proceso de Federación y el IDP luego responde con una Respuesta SAML. Soporte de IMHO ADFSv2 para SAML2.0 Web SSO SP-Init es más fuerte que su IDP-Init support re: integración con productos de terceros Fed (principalmente girando en torno a soporte para RelayState) así que si tiene una opción, querrá usar SP- Inicia ya que probablemente te hará la vida más fácil con ADFSv2.

Éstos son algunos simples descripciones de SSO de la Guía PingFederate 8.0 Introducción que se puede perforar que pueden ayudar también - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html

Fuente

2012-10-08 18:56:18 Ian

+0

ok Gracias .... :) – pbhle

57

IDP Iniciado SSO

De la documentación PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

En este caso, un usuario inicia sesión en el IdP e intenta acceder a un recurso en un servidor de SP remoto. La aserción SAML se transporta al SP a través de HTTP POST.

Fases de elaboración:

  1. que un usuario ha iniciado sesión en el IdP.
  2. El usuario solicita acceso a un recurso SP protegido. El usuario no ha iniciado sesión en el sitio SP.
  3. Opcionalmente, IdP recupera los atributos del almacén de datos del usuario.
  4. El servicio SSO del IdP devuelve un formulario HTML al navegador con una respuesta SAML que contiene la aserción de autenticación y cualquier atributo adicional. El navegador automáticamente publica el formulario HTML de nuevo en el SP.

SP Iniciado SSO

De la documentación PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

En este escenario un usuario intenta acceder a un recurso protegido directamente en un sitio Web de SP sin ser iniciado la sesión. El usuario no tiene una cuenta en el sitio SP, pero tiene una cuenta federada administrada por un IdP de un tercero. El SP envía una solicitud de autenticación al IdP. Tanto la solicitud como la aserción SAML devuelta se envían a través del navegador del usuario a través de HTTP POST.

Fases de elaboración:

  1. el usuario solicita acceso a un recurso protegido SP. La solicitud se redirige al servidor de federación para gestionar la autenticación.
  2. El servidor de federación envía un formulario HTML de vuelta al navegador con una solicitud SAML para autenticación del IdP. El formulario HTML se publica automáticamente en el servicio SSO del IdP.
  3. Si el usuario aún no ha iniciado sesión en el sitio IdP o si se requiere una nueva autenticación, el IdP solicita credenciales (p., ID y contraseña) y el usuario inicia sesión.

  4. Se puede recuperar información adicional sobre el usuario del almacén de datos del usuario para incluirla en la respuesta de SAML. (Estos atributos están predeterminados como parte del acuerdo de federación entre el IdP y el SP)

  5. servicio SSO de la IdP devuelve un formulario HTML al navegador con una respuesta SAML que contiene la afirmación de autenticación y cualquier atributo adicional. El navegador automáticamente publica el formulario HTML de nuevo en el SP. NOTA: Las especificaciones SAML requieren que las respuestas POST estén firmadas digitalmente.

  6. (No se muestra) Si la firma y la aserción son válidas, el SP establece una sesión para el usuario y redirige el navegador al recurso de destino.

Fuente

2014-03-26 06:38:56 user3061250

+1

Re SP iniciado SSO: el punto 3 anterior dice "Si el usuario no ha iniciado sesión en el sitio IdP o si se requiere una nueva autenticación, el IdP solicita credenciales (por ejemplo, ID y contraseña) y el usuario inicia sesión ". ¿Cómo determina el sistema si el usuario ha iniciado sesión en el sitio IdP? ¿Genera una cookie, por ejemplo? – Edwardo

+0

@Edwardo Su suposición es correcta. Cuando se establece una sesión con un IdP, normalmente el IdP genera una cookie para mantener esa sesión. – jekennedy

+0

Tengo otra pregunta http://stackoverflow.com/questions/43861315/how-to-maintain-state-parameter-in-identity-provider-idp-initiated-saml-sso. ¿Puedes echarle un vistazo? – kawadhiya21

-4

SP Iniciado SSO

SP: "Oye, sabes Sal?"

IdP: "?! Do I ... Oh, eso es bien Sí, sé Sal"

SP: "Ok fresco Voy a ella entrar".

IdP Iniciado SSO

IdP: "Oye Sal me ha dicho que la conoces"

SP: "?.. Yo ... Oh, sí me voy a la dejo en"

Fuente

2016-11-11 06:54:59 2upmedia

+17

No creo que la segunda conversación sea correcta ... en cambio debería ser: IdP: "Oye, aquí hay información sobre Sal, por favor déjala entrar"/SP: "Ok, confío en ti, dejaré que ella en " –

+3

la primera conversación tampoco es correcta: en el primer paso SP aún no sabe nada sobre qué usuario es, solo en IdP el usuario iniciará sesión y se identificará como" Sal " – Allie

+1

La primera conversación debería ser: SP: "Oye, ¿dónde está tu identificación?" IdP: "Espera, lo verificaré. Déjame ver tu identificación, por favor. Bien, hermano, déjala entrar, se llama Sal y ella tiene 21 (opcionalmente)" SP: "Genial amigo, ¡eres increíble! ¡Oye tú, vamos! ! " –

Cuestiones relacionadas

 Cuestiones relacionadas