[single-sign-on] SP 시작 SSO와 IDP 시작 SSO의 차이점

누구든지 SP 시작 SSOIDP 시작 SSO 의 주요 차이점이 무엇인지 설명 할 수 있습니까 ? 여기에는 ADFS + OpenAM 연합과 함께 단일 사인온을 구현하는 데 더 나은 솔루션이 무엇인지 포함됩니다.



답변

IDP Init SSO (Unsolicited Web SSO)에서 페더레이션 프로세스는 IDP가 SP에 요청하지 않은 SAML 응답을 전송함으로써 시작됩니다. SP-Init에서 SP는 연합 프로세스의 첫 번째 단계로 IDP에 전송되는 AuthnRequest를 생성하고 IDP는 SAML 응답으로 응답합니다. SAML2.0 Web SSO SP-Init에 대한 IMHO ADFSv2 지원은 IDP-Init 지원보다 강력합니다. 즉, 타사 Fed 제품과의 통합 (대부분 RelayState에 대한 지원을 중심으로 회전)하므로 SP-를 사용하고 싶을 것입니다. ADFSv2를 사용하면 삶을 더 쉽게 만들 수 있으므로 초기화하십시오.

다음은 PingFederate 8.0 시작 안내서의 몇 가지 간단한 SSO 설명이며 도움이 될 수 있습니다.


답변

IDP 시작 SSO

PingFederate 문서에서 : – https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

이 시나리오에서 사용자는 IdP에 로그온하고 원격 SP 서버의 리소스에 액세스하려고합니다. SAML 어설 션은 HTTP POST를 통해 SP로 전송됩니다.

처리 단계 :

  1. 사용자가 IdP에 로그온했습니다.
  2. 사용자가 보호 된 SP 리소스에 대한 액세스를 요청합니다. 사용자가 SP 사이트에 로그온하지 않았습니다.
  3. 선택적으로 IdP는 사용자 데이터 저장소에서 특성을 검색합니다.
  4. IdP의 SSO 서비스는 인증 어설 션 및 추가 속성이 포함 된 SAML 응답과 함께 HTML 양식을 브라우저에 반환합니다. 브라우저는 자동으로 HTML 양식을 SP에 다시 게시합니다.

SP 시작 SSO

PingFederate 문서에서 : – http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO–POST-POST

이 시나리오에서 사용자는 로그온하지 않고 SP 웹 사이트에서 직접 보호 된 리소스에 액세스하려고합니다. 사용자는 SP 사이트에 계정이 없지만 타사 IdP에서 관리하는 페더레이션 계정이 있습니다. SP는 IdP에 인증 요청을 보냅니다. 요청과 반환 된 SAML 어설 션은 모두 HTTP POST를 통해 사용자의 브라우저를 통해 전송됩니다.

처리 단계 :

  1. 사용자가 보호 된 SP 리소스에 대한 액세스를 요청합니다. 요청은 인증을 처리하기 위해 페더레이션 서버로 리디렉션됩니다.
  2. 페더레이션 서버는 IdP의 인증을위한 SAML 요청과 함께 HTML 양식을 브라우저로 다시 보냅니다. HTML 양식은 IdP의 SSO 서비스에 자동으로 게시됩니다.
  3. 사용자가 IdP 사이트에 아직 로그온하지 않았거나 재 인증이 필요한 경우 IdP는 자격 증명 (예 : ID 및 암호)을 요청하고 사용자가 로그온합니다.
  4. 사용자에 대한 추가 정보는 SAML 응답에 포함하기 위해 사용자 데이터 저장소에서 검색 될 수 있습니다. (이러한 속성은 IdP와 SP 간의 페더레이션 계약의 일부로 미리 결정됩니다.)

  5. IdP의 SSO 서비스는 인증 어설 션 및 추가 속성이 포함 된 SAML 응답과 함께 HTML 양식을 브라우저에 반환합니다. 브라우저는 자동으로 HTML 양식을 SP에 다시 게시합니다. 참고 : SAML 사양에서는 POST 응답이 디지털 서명되어야합니다.

  6. (표시되지 않음) 서명 및 어설 션이 유효한 경우 SP는 사용자에 대한 세션을 설정하고 브라우저를 대상 리소스로 리디렉션합니다.


답변

SP 시작 SSO

사용자에게 청구 : “Hey Jimmy, 보고서를 보여줘”

SP Jimmy : “어이, 아직 당신이 누군지 모르겠습니다. 여기에 프로세스가 있으므로 먼저 IdP Bob에게 확인을 받으십시오. 저는 그를 신뢰합니다.”

Bob the IdP : “Jimmy가 여기로 보냈습니다. 자격 증명을 알려주세요.”

사용자에게 청구 : “안녕하세요 저는 Bill입니다. 여기에 내 자격 증명이 있습니다.”

Bob the IdP : “안녕하세요. 결제하신 것 같습니다.”

Bob the IdP : “Hey Jimmy.이 사람 Bill이 확인하고 여기에 그에 대한 추가 정보가 있습니다. 여기에서 원하는 것은 무엇이든합니다.”

Jimmy the SP : “좋아요. Bill도 우리의 알려진 손님 목록에있는 것 같습니다. Bill을 들여 보내겠습니다.”

IdP 시작 SSO

Bill the user : “Hey Bob. 나는 Jimmy의 집에 가고 싶어. 보안이 꽉 찼다.”

Bob the IdP : “Hey Jimmy. 나는 Bill을 믿습니다. 그는 확인하고 여기에 그에 대한 몇 가지 추가 정보가 있습니다. 여기서 원하는 것은 무엇이든 할 수 있습니다.”

Jimmy the SP : “좋아요. Bill도 우리의 알려진 손님 목록에있는 것 같습니다. Bill을 들여 보내겠습니다.”


여기에서 더 자세히 설명하지만 여전히 간단하게 유지합니다 : https://jorgecolonconsulting.com/saml-sso-in-simple-terms/ .


답변