누구든지 SP 시작 SSO 와 IDP 시작 SSO 의 주요 차이점이 무엇인지 설명 할 수 있습니까 ? 여기에는 ADFS + OpenAM 연합과 함께 단일 사인온을 구현하는 데 더 나은 솔루션이 무엇인지 포함됩니다.
답변
IDP Init SSO (Unsolicited Web SSO)에서 페더레이션 프로세스는 IDP가 SP에 요청하지 않은 SAML 응답을 전송함으로써 시작됩니다. SP-Init에서 SP는 연합 프로세스의 첫 번째 단계로 IDP에 전송되는 AuthnRequest를 생성하고 IDP는 SAML 응답으로 응답합니다. SAML2.0 Web SSO SP-Init에 대한 IMHO ADFSv2 지원은 IDP-Init 지원보다 강력합니다. 즉, 타사 Fed 제품과의 통합 (대부분 RelayState에 대한 지원을 중심으로 회전)하므로 SP-를 사용하고 싶을 것입니다. ADFSv2를 사용하면 삶을 더 쉽게 만들 수 있으므로 초기화하십시오.
다음은 PingFederate 8.0 시작 안내서의 몇 가지 간단한 SSO 설명이며 도움이 될 수 있습니다.
답변
IDP 시작 SSO
PingFederate 문서에서 : – https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
이 시나리오에서 사용자는 IdP에 로그온하고 원격 SP 서버의 리소스에 액세스하려고합니다. SAML 어설 션은 HTTP POST를 통해 SP로 전송됩니다.
처리 단계 :
- 사용자가 IdP에 로그온했습니다.
- 사용자가 보호 된 SP 리소스에 대한 액세스를 요청합니다. 사용자가 SP 사이트에 로그온하지 않았습니다.
- 선택적으로 IdP는 사용자 데이터 저장소에서 특성을 검색합니다.
- IdP의 SSO 서비스는 인증 어설 션 및 추가 속성이 포함 된 SAML 응답과 함께 HTML 양식을 브라우저에 반환합니다. 브라우저는 자동으로 HTML 양식을 SP에 다시 게시합니다.
SP 시작 SSO
PingFederate 문서에서 : – http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO–POST-POST
이 시나리오에서 사용자는 로그온하지 않고 SP 웹 사이트에서 직접 보호 된 리소스에 액세스하려고합니다. 사용자는 SP 사이트에 계정이 없지만 타사 IdP에서 관리하는 페더레이션 계정이 있습니다. SP는 IdP에 인증 요청을 보냅니다. 요청과 반환 된 SAML 어설 션은 모두 HTTP POST를 통해 사용자의 브라우저를 통해 전송됩니다.
처리 단계 :
- 사용자가 보호 된 SP 리소스에 대한 액세스를 요청합니다. 요청은 인증을 처리하기 위해 페더레이션 서버로 리디렉션됩니다.
- 페더레이션 서버는 IdP의 인증을위한 SAML 요청과 함께 HTML 양식을 브라우저로 다시 보냅니다. HTML 양식은 IdP의 SSO 서비스에 자동으로 게시됩니다.
- 사용자가 IdP 사이트에 아직 로그온하지 않았거나 재 인증이 필요한 경우 IdP는 자격 증명 (예 : ID 및 암호)을 요청하고 사용자가 로그온합니다.
-
사용자에 대한 추가 정보는 SAML 응답에 포함하기 위해 사용자 데이터 저장소에서 검색 될 수 있습니다. (이러한 속성은 IdP와 SP 간의 페더레이션 계약의 일부로 미리 결정됩니다.)
-
IdP의 SSO 서비스는 인증 어설 션 및 추가 속성이 포함 된 SAML 응답과 함께 HTML 양식을 브라우저에 반환합니다. 브라우저는 자동으로 HTML 양식을 SP에 다시 게시합니다. 참고 : SAML 사양에서는 POST 응답이 디지털 서명되어야합니다.
-
(표시되지 않음) 서명 및 어설 션이 유효한 경우 SP는 사용자에 대한 세션을 설정하고 브라우저를 대상 리소스로 리디렉션합니다.
답변
SP 시작 SSO
사용자에게 청구 : “Hey Jimmy, 보고서를 보여줘”
SP Jimmy : “어이, 아직 당신이 누군지 모르겠습니다. 여기에 프로세스가 있으므로 먼저 IdP Bob에게 확인을 받으십시오. 저는 그를 신뢰합니다.”
Bob the IdP : “Jimmy가 여기로 보냈습니다. 자격 증명을 알려주세요.”
사용자에게 청구 : “안녕하세요 저는 Bill입니다. 여기에 내 자격 증명이 있습니다.”
Bob the IdP : “안녕하세요. 결제하신 것 같습니다.”
Bob the IdP : “Hey Jimmy.이 사람 Bill이 확인하고 여기에 그에 대한 추가 정보가 있습니다. 여기에서 원하는 것은 무엇이든합니다.”
Jimmy the SP : “좋아요. Bill도 우리의 알려진 손님 목록에있는 것 같습니다. Bill을 들여 보내겠습니다.”
IdP 시작 SSO
Bill the user : “Hey Bob. 나는 Jimmy의 집에 가고 싶어. 보안이 꽉 찼다.”
Bob the IdP : “Hey Jimmy. 나는 Bill을 믿습니다. 그는 확인하고 여기에 그에 대한 몇 가지 추가 정보가 있습니다. 여기서 원하는 것은 무엇이든 할 수 있습니다.”
Jimmy the SP : “좋아요. Bill도 우리의 알려진 손님 목록에있는 것 같습니다. Bill을 들여 보내겠습니다.”
여기에서 더 자세히 설명하지만 여전히 간단하게 유지합니다 : https://jorgecolonconsulting.com/saml-sso-in-simple-terms/ .