我正在设置一个新的SAML SSO。我将收到客户端对我的应用程序1的请求。我的要求是,相同的SAML请求应一直流到应用程序2到应用程序1。我只能找到从客户端到应用程序1以及客户端到应用程序2的SAML请求。互联网。但是流必须类似于客户端-> App1-> App2。请告知是否可以进行此设置?
答案 0 :(得分:0)
如果“ App2”是符合SAMLv2的服务提供商,则此操作无法完成,因为它必须检查SAML断言的“受众”并将其设置为第一个SP。
答案 1 :(得分:0)
我的建议是使App1既是服务提供者又是身份提供者,但要成为中继身份提供者。对于使用R-IdP进行身份验证的任何应用,R-IdP均充当常规IdP,但同时又将身份验证委派给实际的提供商。
然后,将您的App2配置为使用App1作为其身份提供程序。
这样,您将确保没有涉及直接访问App2的非法流,并且App2与实际身份提供者之间没有非法消息流。
此外,您不会通过在App1和App2中重用相同的令牌来尝试滥用协议,尽管这在技术上是可行的,但听起来似乎早晚会造成麻烦。