SAML：服务提供商之间的通信？

Question

我的任务是在 ASP.NET 中为 SAML v2.0 编写 SP（服务提供程序），我想知道以下内容；

如果用户在主 SP 上登录某项服务（用户可以将我的 SP 作为锚点/链接进行访问，除非之前添加了书签），然后请求访问我的 SP，我应该如何处理他们的登录？

他们将登录并获得主 SP 上 IdP 的授权，但该 SP 将如何告诉我的 SP 用户已登录？ 我是否必须向 IdP 发送新的授权请求来确定用户是否已登录，还是应该使用来自 SP 的查询字符串作为发布数据/重定向进行传递？

我已阅读 技术概述以及基础，但他们不涵盖这部分。

我会联系主要 SP 并询问如何继续，但我想先了解一下我的基础，看看是否有处理这种情况的标准方法。

Answer 1

最简单的方法是让“主 SP”构建链接，以便为用户启动 IDP-Init SSO 来登录您的应用程序。因此，用户将显示从 IDP（客户）到您的 SP 的新断言。

您还可以让它们直接链接到您的站点，以便为给定的身份提供商/客户调用 SP-Init SSO。

无论您选择哪种方式，都需要您处理 SAML 2.0 的多个用例和选项。如果您想查看 Ping Identity 提供的 SaaS 合作伙伴计划，您可以在短时间内启动并运行它。 www.pingidentity.com

如果您想了解有关我们所见其他内容的更多信息，请告诉我

Answer 2

为了执行 SP 发起的 SSO，您要么需要只需要向一个身份提供者发送身份验证请求，要么需要某种方法来确定特定用户的正确身份提供者（或者是用户）需要提供一些 IdP 识别信息（例如当您想使用 Google 或其他 ID 登录时 StackOverflow 会这样做），或者 URL 中可能嵌入了某些内容。 （对于我开发的应用程序，不同的客户端有自己的站点域，因此 IdP 会映射到这些站点域。）

因此，是的，如果您要采用 SP 发起的路线，您将需要向IdP 来确定用户是谁，并且您将需要使用 RelayState 将他们返回到最初请求的页面。如果它们已经在 IdP 上进行了身份验证，那么很可能会发生这种交换，而无需用户进行任何输入。