Сначала вам понадобятся метаданные SAML2 клиента (Idity Provider IdP).Он будет иметь URL-адрес конечной точки единого входа и сертификат подписи X509.
Затем вы отправите им свои метаданные SAML2 с URL-адресом службы поддержки пользователей (ACS) и сертификатом подписи X509.
Образец метаданных здесь .Или вы можете создать его здесь .
Сертификаты - это, как правило, долгоживущие самозаверяющие сертификаты.Они могут быть самозаверяющими, поскольку каждая сторона имеет копию сертификата другой стороны, которую они будут использовать для проверки подписанного запроса и ответа.
Вы создаете SAMLRequest и отправляете его по URL-адресу единого входа.Здесь приведен пример запроса здесь .
Они отображают свою страницу входа в систему пользователю, и пользователь аутентифицируется на своем конце.
Они собирают атрибуты для пользователя из своей Active Directoryи включите их в атрибуты SAML и поместите их в SAMLResponse.
Они ПОСТАВЛЯЮТ SAMLResponse в ваш URL ACS.Вот пример ответа здесь .
Вы проверяете подпись на их SAMLResponse, используя их сертификат X509 из их метаданных SAML2.
Вы извлекаете атрибуты SAML из их проверенныхSAMLResponse и выполните соответствующие действия в вашем приложении, например, создайте учетную запись пользователя, возможно, его адрес электронной почты является одним из их атрибутов.
Вышеуказанное называется профилем единого входа SAML2 Web Browser, объяснено здесь .