我对SAML (v2)协议的理解是服务提供者应该直接与身份提供者交互以交换授权请求和断言消息。
我可以想到许多原因,为什么这是一个坏主意(破坏消息签名,使中间IdP访问来自其他IdP的信息),但是SAML是否支持任何允许以下安排的场景?
SP & lt;——> MainIdP & lt;——> ThirdPartyIdP
所以(假设)假设MainIdP有一些聪明的方法来确定SP用户需要针对ThirdPartyIdP进行身份验证,它将委托给ThirdPartyIdP,然后接收响应,处理它并回复给SP。SAML允许这样做吗?(我之所以问这个问题,是因为一个软件供应商建议使用这种方法,我认为它不受支持,而且从根本上讲是不安全的。)
根据我的理解,"正确"的方法是将SP配置为独立地了解两个IdP,并向用户提供一个可供选择的列表,或者委托给可以询问用户的发现服务,或者通过其他方式推断使用哪个IdP。这样对吗?
谢谢。
大多数SAML的联邦身份提供程序都有"Home Realm Discovery"屏幕的概念。
SP被"绑定"到MainIdP,但是MainIdP显示一个屏幕,显示与它联合的所有其他IDP。从该列表中选择ThirdPartyIdP.