SAML-Client-ID, wie ist es gespeichert

Question

Ich bin SAML bekannt und ich versuche zu verstehen, wie eine Kundendaten für SSO gespeichert werden. Wenn wählen Sie einen Link in einem Browser zu einem Service-Provider und ich habe nicht auf der IDP eingerichtet, nachdem ich mein Konto bei der IDP erstellt und authentifiziert an den SP, was ist gespeichert? ist es meine IP Adresse? Wenn ich versuche, eine Verbindung zu demselben SP von einer anderen Maschine herzustellen, müsste ich erneut auf der IDp registriert werden. Oder ist es anders gemacht? Vielen Dank

Answer 1

Ein IdP erstellt eine SAML-Assertion über ein authentifiziertes Subjekt.

Basierend auf dem verwendeten NameID-Format könnte ein undurchsichtiger Handle übertragen werden ("transient NameID format") oder eine Email-Adresse ("Email NameID format") oder sogar eine andere ID vom IdP zum SP übertragen werden. Weitere Attribut-Statements könnten verwendet werden, um zusätzliche Informationen über das Subjekt zu übertragen.

Die Authentifizierung findet auf dem IdP statt, es ist jedoch nicht in der SAMLv2-Spezifikation definiert, wie dies erfolgen muss.

Wenn Authentifizierung stattgefunden hat, wird am IdP eine "Sitzung" eingerichtet. Die meisten IdP-Implementierungen verwenden ein Cookie zum Verfolgen der "Sitzung". Wenn Sie also erneut zum IdP zurückkehren, ist keine Neuauthentifizierung erforderlich, es sei denn, ein SP schreibt dies vor. ("ForceAuth" in der SAML AuthnRequest).

Dies ist nur ein kurzer Überblick, das Lesen der SAMLv2 Tech-Übersicht (https://wiki.oasis-open.org/security/Saml2TechOverview) gibt Ihnen sicherlich mehr Einblicke.