我们正在与客户一起实施SSO解决方案。由于其复杂的性质和时间敏感性,我们聘请了第三方安全合作伙伴公司,该公司可以充当SP并在对用户进行身份验证后重定向请求。 第三方公司现在告诉我他们将向我们的申请发送SAML回复以进一步验证。
我的问题是,鉴于SAML响应已经在我们的第三方提供商(代表我们充当SP)上验证,为什么我们(应用程序所有者)必须再次进行SAML断言?
我原以为它将是来自第三方的重定向,带有一些令牌进行验证,以便我们的应用程序可以跳过登录验证部分。 但我想通过研究事实和行业实践与他们交谈。有人可以帮忙吗?如果我在这里遗漏了什么,请告诉我。
答案 0 :(得分:2)
将SSO用于(通常是遗留的)应用程序的中间SP的通常做法是:
我不认为你错过任何东西。也许您的提供商只是混淆了一些事情而且给了您错将SAML令牌本身包含在从SP到您的应用程序的响应中是有意义的(例如,出于审计目的),但是一旦完成SAML消息,您的应用程序理解或验证SAML消息是没有意义的。中介SP。