处理 SAML 断言是如何工作的？

Question

我需要成为 SAML 解决方案中的服务提供商，并且想了解断言的处理是如何工作的。我在此处找不到答案。

我想断言会这样说：“我是 John Doe，我的 ID 是：999”？我是否需要与身份提供商“同步”的用户列表？我是否需要一个与 SAML 断言具有相同 ID 的访问控制列表？

场景：我有一个带有 ACL 的数据库。我将成为服务提供商，而远程第三方系统将成为身份提供商。

我不明白远程系统如何知道我的访问控制列表中有哪些用户能够授权任何人。

Answer 1

SAML 规范本身并未涵盖 IdP 处的用户 ID 与 SP 处的用户之间的映射。我建议您查看 SAML 概述。这应该可以帮助您确定最适合您的场景的方法。

对于我工作的系统（作为多个客户端/IdP 的 SP），我们有一种机制，客户端可以通过该机制将自己的标识符与我们系统上的用户相关联；该机制不属于 SAML 实现范围。当客户端向我们发送 SAML 断言时，我们希望这些断言能够使用这些标识符来识别用户（以及使用另一个共享标识符来识别客户端本身）。