以下是该方案。
1. Service Provider ABC.com is configured to accept credentials from IDP MNO.com.
2. Service Provider is also configured as an Identity Provider for XYZ.com.
3. User requests resource from ABC.com, is authenticated successfully against MNO.com.
4. Now the user wants a resource from XYZ.com.
XYZ将询问ABC用户是否经过身份验证。用户最初针对MNO.com进行了身份验证。 MNO.com和XYZ.com彼此不了解。最初针对MNO.com进行身份验证的凭据是否会跨越到XYZ.com?换句话说,ABC.com会认为用户已经过身份验证,是否会将从MNO.com收到的凭据提供给XYZ.com?
如果没有,有没有办法实现这一目标,或者原始IdP(MNO.com)是否也需要为XYZ.com提供服务?
简而言之:
Identity Provider: MNO.com trusts SP: ABC.com
SP: ABC.com also configured as IDP to XYZ.com
SP: XYZ.com does not know about IDP: MNO.com
来自MNO.com的凭据是否因为ABC.com既是SP又是身份提供商而传递给XYZ.com?
由于
答案 0 :(得分:1)
理想情况下,您的案例中会有一个身份提供商(MNO.com)。需要在IDP内配置所有关联的服务提供者。你有两个SP“abc.com”和“xyz.com”应该配置MNO.com但是abc.com和xyz.com不需要彼此了解。
用例:如果用户尝试登录受IDP MNO.com保护的xyz.com,那么如果以前未登录,MNO.com将要求提供凭据。现在,用户将能够访问xyz.com并且他想访问abc.com然后请求将转到IDP进行身份验证,并且由于xyz.com创建的上一个会话而获得成功的身份验证。因此,用户无需再次登录即可访问abc.com。
如果您有任何疑问,请告诉我。