SAML2 Mehrere Service Provider

Question

Wir haben Single Sign-On in unserem Web-Produkt (app1) mit SAML 2.0 implementiert - unser Produkt ist der Service-Provider. Jetzt fragt einer unserer Kunden nach einem Link in app1, der den Benutzer zu seiner Web-App (app2) führt und er erwartet, dass sich der Benutzer in seiner Anwendung anmeldet. Ich gehe davon aus, dass ihre App (app2) den gleichen IDP verwenden wird, den app1 verwendet.

Basierend auf meinem Verständnis denke ich, dass ein Link zu ihrem AssertionConsumer von app2 die Arbeit machen sollte. Wenn der Link zur app2 geklickt wird, kann der AssertionConsumer von app2 die Ansprüche von app1 verarbeiten. Werde mich freuen, wenn jemand hereinkommt und mich wissen lässt, wenn ich etwas verpasse.

Answer 1

Sie sollen nicht zu der Assertion Consumer URL Sie verlinken auf die entsprechende Seite in App2. App2 erkennt, dass der Benutzer nicht authentifiziert ist und sendet es zur Authentifizierung an IDP. Der IDP erkennt, dass der Benutzer bereits authentifiziert ist, und gibt den Benutzer an die Seite zurück, an die er ursprünglich gesendet wurde.

Answer 2

Macht app2 passive Authentifizierung, wenn Benutzer ankommen? Wenn dies der Fall ist, sollten Sie nur auf eine Seite in app2 verlinken und sich darum kümmern, dass Sie den IdP nach dem Anmeldestatus des Benutzers fragen, anstatt zu versuchen, es zu sagen.

Wenn App2 nicht automatisch mit dem IdP überprüft, dann sollten Sie wahrscheinlich auf eine Seite in app2, dass erfordert Auth, so dass es wird.

Im Allgemeinen ist der ganze Sinn der IdP ist, dass es ist die Sache, dass das Vertrauen SPs, ihnen zu sagen, ob (und wie) ein Benutzer authentifiziert ist, so dass Sie nicht ein zusätzliches System von Vertrauen aufzubauen versuchen sollten, zwischen die SPs. (Es ist in Ordnung, wenn sie miteinander andeuten dass der aktuelle Benutzer in oder sogar jemand insbesondere angemeldet ist, aber sie sollten Überprüfung mit den IdP, bevor es zu glauben.)