最近,我正在浏览一个讨论SAML活动配置文件的视频here,客户端直接从身份提供商处获取SAML令牌,然后使用该令牌向服务提供商提交请求,通常的WebSSO配置文件具有SP启动或IdP启动的请求。关于这种实现有什么好的参考吗? SAML规范中此配置文件的正式名称是什么?
答案 0 :(得分:3)
没有看过视频,它可能谈到了SAML的增强型客户端或代理(ECP)配置文件。此配置文件允许增强型客户端(例如,具有嵌入式SAML-ECP功能的浏览器)和反向代理(例如,您的移动运营商使用的代理,可以使用基于您使用的SIM卡的IDP对您进行身份验证),以使用SOAP协议与IDP进行通信(使用身份验证请求协议)。
此配置文件使用的绑定是PAOS。 PAOS服务提供商使用包含SAML消息的SOAP消息响应HTTP请求,例如, AuthnRequest。
用户通过发送标准HTTP请求来请求资源,服务提供者通过在HTTP响应中发送回包含在SOAP Enveloped中的AuthnRequest来请求身份验证。然后,ECP知道如何从IDP获取响应(再次使用SOAP)并将其传递回服务提供者。
ECP还可以在联系SP之前获取SAML响应,并向其提供它发送的第一个HTTP请求。
您可以在saml2-profiles文档中找到详细信息。很少有国内流离失所者支持这一点(例如OpenAM),也有一些SP(例如Spring SAML),但很少有支持ECP的客户端可用。