我们目前有一个应用程序,它充当SAML SSO配置中的服务提供者。身份提供者是我们无法控制的完全不同的域,我们的客户也是如此。我们的客户希望我们有一个“花哨的”登录小部件;基本上不是点击链接并被重定向到他们的身份提供者,他们希望我们出现一个用户名和密码输入表单。
我的理解是,由于SAML的工作原理,我们不可能提供这种接口,但他们可以在他们的网站上进行,因为他们不需要SAML用于他们的服务提供商应用程序,他们可以只是与他们集成他们自己的登录系统。
这是正确的,还是有办法实现他们建议的登录表单?
答案 0 :(得分:2)
SAML规范中没有任何内容可以定义此内容。你可以通过向其外部公开的登录页面发布信息来破解某些东西。但是,它绝对不是安全最佳实践,因为它违反了企业警告其员工的反密码模式。此外 - 如果他们有SAML IDP,为什么他们甚至想要这个呢?