使用不同版本的 SAML 实施 SSO

Question

当两个不同的供应商使用不同版本的 SAML 时，是否可以在两个不同的供应商之间建立 SSO。 供应商 A 使用 SAML 1.0，供应商 B 使用 SAML 2.0 ？ 我们能否拥有一个根据 SAML 版本解释断言的中介？

Answer 1

我想您可以构建一个中介，它从一个供应商处获取 SAML 请求，对其进行身份验证，读取断言，然后使用发送给下一个供应商的正确版本构建一个全新的 SAML 请求。 但这似乎将是一个重大挑战。 这里的问题是，您不能只是将 SAML 请求从一个版本重新构建到另一个版本 - 这样做会使原始请求的签名无效。

Answer 2

您可以使用 OpenSSO 来使用 SAML 1.0 断言并创建 SAML 2.0 断言，反之亦然。 我过去曾使用 OpenSSO 完成过类似的协议转换。 OpenSSO 将信任 VendorA，VendorB 将信任 OpenSSO。