sp autenticación SSO iniciado saml

Pregunta hecha: hace 8 meses Ultima actividad: hace 7 meses
up 0 down

Estoy trabajando en sso saml SP iniciada y es completamente nuevo para mí. He pasado por un montón de artículos y videos (Wikipedia, chalktalk Centrify, postes medio), pero no soy capaz de entender algunas de las cosas:

  1. Es la afirmación SAML el token SAML? Si no es así, entonces ¿cómo se genera?

  2. Supongamos que tengo un IdP basado saml y dos habilitado saml SP. Ahora, en una unión puramente después, cuando me conecto a uno de los SP y luego iniciar sesión en el segundo SP, ¿Cómo me ingrese en el segundo SP? Para ser más precisos, ¿cómo sabe el segundo SP que el usuario ya está conectado al primer SP? ¿Cuál es ese parámetro (s) que decide que? (¿Puedo obtener una explicación más bajo nivel en esto). ¿Tiene los datos del almacén IdP en cookie acerca de la sesión o hay algo más que me estoy perdiendo.

Si hay algún artículo en base a esto, por favor haga publicarlos.

Gracias.

2 respuestas

up 0 down

En primer lugar quisiera responder a sus puntos específicos de preguntas:

1) ¿Es la afirmación SAML el token SAML? Si no es así, ¿cómo es   ¿generado?

-Este es toda la terminología sólo por la misma cosa. Una aserción SAML y un token de SAML son la misma cosa. Hay 2 diferentes afirmaciones SAML/fichas que son importantes para que usted pueda centrarse. La solicitud SAML y la respuesta SAML. La solicitud SAML es lo que se envía desde el SP para el PDI en SP inició SAML SSO. La respuesta SAML es lo que se envía desde el IDP el SP como la parte final de SP inicia o durante IDP inicia SAML SSO. SP iniciada es cuando el usuario comienza en la aplicación SP, se redirige a la PDI para la autenticación, y luego enviado de vuelta a la aplicación SP por el IDP. IDP inititated es cuando el usuario inicia en el IDP, y va directamente al SP. Una aserción SAML es sólo XML que ha sido firmado, convierte en una cadena y la base 64 codificado. se les redirige con el usuario de SP a IDP y la espalda.

2) Supongamos que tengo un IdP basado saml y dos saml SP habilitado. Ahora, en una   puramente poste de unión, cuando me conecto a uno de los SP y luego login para   el segundo SP, ¿Cómo me ingrese en el segundo SP? Ser más preciso,   ¿cómo sabe el segundo SP que el usuario ya está conectado a la primera   SP? ¿Cuál es ese parámetro (s) que decide que? (Puedo obtener más baja   explicación en este nivel). ¿Tiene los datos del almacén de cookies sobre IdP   la sesión o hay algo más que me estoy perdiendo.

-Este es específica para su IDP. Como SME Centrify, puedo decirle cómo Centrify y desplazados funcionan similares. Cuando un usuario inicia sesión en el IDP, venga ésta de una redirección SP iniciada, IWA en su máquina corporativa, o directamente a la propia IDP, se añade una cookie en el navegador. En el caso de Centrify, esta cookie se llama .ASPXAUTH. Cada vez que un usuario es llevado a la IDP después de iniciar la sesión, no se le pide que inicie sesión de nuevo. Así que si un usuario inicia en el SP1, se le redirecciona a la IDP, entra, y es enviado de nuevo, la cookie se ha establecido por el IDP. Ahora bien, si se van a SP2, por defecto que el SP también redirigir a la IDP, pero el IDP no pedirá autenticación de nuevo debido a la cookie conjunto. Por lo que el usuario no se daría cuenta de la redirección y el IDP acaba de enviarlos de vuelta a SP2 con la respuesta SMAL apropiado. Así como no:

SP1> Solicitud de SAML y redirigir a IDP> Entre para PDI y cookie se establece> SAML Respuesta y redirigir de nuevo a SP1> Navegar a SP 2> Solicitud de SAML y redirigir a IDP> Cookie se establece de modo inmediato redirigir de nuevo a SP con SAML respuesta .

Centrify también tiene de API que pueden ser utilizados por SP. Por ejemplo, un SP podía hacer una llamada a la API de cliente a/security/whoami para ver si existe una cookie ASPXAUTH válida en su lugar. Así SP2 podría comprobar si hay una cookie válida y decide volver a dirigir a todos porque la cookie ya se ha establecido. https://developer.centrify.com/reference-link/securitywhoami

Esperemos que esto ayuda. Escribí un ejemplo muy básico de esto en C#, mientras que al Centrify. Puede encontrar el código aquí https://github.com/centrify/CentrifySAMLSDK_CS. No dude en llegar aquí con más preguntas o encontrarme en twitter https://twitter.com/NickCGamb

up 0 down accepted
  1. Sí, la afirmación es normalmente un símbolo totalmente portátil por sí mismo, pero hay formas de enlazar a, por ejemplo, teclas del solicitante.

  2. El segundo SP hace ahora que el usuario ya está firmado. El SP se redirigirá al usuario a la PDI con una solicitud de autenticación a la IDP. IDP por lo general guarda una cookie para el usuario cuando se autentica la primera vez, esto no se especifica mediante SAML, pero en general como se hace. Cuando el usuario llega a la IDP IDP se ve en la cookie y si la autenticación de usuario sigue siendo válido el IDP envía automáticamente una aserción/token válido a la SP. Es posible que el SP para overide este comportamiento especificando el atributo ForceAuthn en la solicitud de autenticación.

En cuanto a los recursos que recomendaría la descripción técnica de OASIS SAML http://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf