Как saml IDP / SP работает с auth0?

Question

Я пытаюсь понять SAML и модель IDP / SP, следуя этой инструкции auth0.

https://auth0.com/docs/protocols/saml/samlsso-auth0-to-auth0

В этом руководстве вы создадите двух арендаторов auth0.

Первый арендатор (арендатор 1) - поставщик услуг, второй (арендатор 2) - провайдер идентификации.

В разделе, где мы настраиваем второго арендатора, у меня возникают проблемы с пониманием того, что описано в этой строке:

В этом разделе вы настроите одного арендатора Auth0 (арендатора 2), который будет работать в качестве провайдера идентификации. Это можно сделать, зарегистрировав приложение, но в этом случае регистрируемое «приложение» действительно является представителем арендатора 1, поставщика услуг SAML.

Я в замешательстве по этому поводу, потому что я думал, что поставщик услуг, по сути, является оберткой для всех различных приложений, к которым вам нужен доступ через IDP. Таким образом, в моей интерпретации я бы подумал, что создаваемое нами приложение будет существовать внутри первого арендатора.

Кто-нибудь объяснит, почему в этом примере мы настроили IDP для содержания приложения и как оно представляет поставщика услуг (арендатор 1)?

Answer 1

Согласитесь, эта статья несколько сбивает с толку.

Ключ «На этом шаге вы протестируете пример приложения HTML, которое использует SAML-соединение Auth0, настроенное в Tenant 1, для выполнения SSO через SAML против Tenant 2, выступающего в качестве провайдера идентификации SAML».

В SAML есть два вида SP.

SP может быть приложением, поэтому путь будет:

Применение -> SAML IDP

или у вас может быть SP-STS (служба маркеров безопасности), т.е. промежуточный IDP, действующий как SP.

Здесь путь:

Приложение -> SAML SP -> SAML IDP

По сути, SAML SP просто сквозной.

Обычно, что происходит, когда вы аутентифицируетесь, приложение перенаправляется на STS. Вы можете авторизоваться здесь. Однако, если этот STS знает, что существует другой восходящий STS, он спросит вас через Home Realm Discovery, какой STS вы хотите использовать.