Преобразование из SSO, инициированного SP, в SSO, инициированное IdP

Question

Я новичок в SSO, поэтому, пожалуйста, дайте мне знать, если мой вопрос не имеет смысла.Наша внутренняя система в настоящее время поддерживает SSO, инициируемую SP.Мы завершили одну успешную интеграцию со сторонним приложением, но наш последний поставщик поддерживает только SSO, инициированную IdP.Какие у меня варианты на данный момент?Возможна ли интеграция?Я даже не знаю, с чего начать, поэтому любая помощь, указывающая мне правильное направление, будет высоко оценена.Спасибо за ваше время.

Answer 1

Согласитесь с @Kellen, это должно сработать.

Вам просто нужно выяснить "волшебную ссылку" - URL-адрес, по которому вы переходите к экрану инициированного IDP, например, в Azure AD, ссылка ведет вас кэкран аутентификации и затем через приложение.

Answer 2

Инициированный IdP означает, что они просто вызовут URL на IdP, который автоматически сгенерирует SAMLResponse и вернет пользователя в ваше приложение с этим ответом.Пока ваш стек SAML может принимать нежелательные ответы (очень вероятно), у вас все будет хорошо.

Если вы используете, скажем, Shibboleth, это будет гарантированно работать.

Как выглядит ваша реализация SAML?Нам нужно знать, как вы внедрили SAML, чтобы сказать вам со 100% уверенностью, но невероятно вероятно, что вы можете просто выполнить интеграцию таким же образом, и это сработает.

По моему опыту, SSO, инициируемая IdP, кажется, что смущает всех, но в этом нет ничего загадочного.Кроме того ... я считаю маловероятным, что ваш клиент не поддерживает SSO, инициированную SP, он просто недостаточно хорошо знает свой стек, чтобы дать вам правильные конечные точки.В мире SAML много «застрявших в коробке» мыслей.