Как работает обработка утверждения SAML?

Question

Мне нужно быть поставщиком услуг в решении SAML и хочу знать, как работает обработка утверждений. Я не смог найти ответ здесь .

Я предполагаю, что утверждение скажет что-то вроде: "Я Джон Доу, мой ID: 999"? Нужен ли список пользователей, который синхронизирован с поставщиком удостоверений? Нужно ли мне, чтобы список контроля доступа имел те же идентификаторы, что и утверждения SAML?

Сценарий: у меня есть база данных с ACL. Я буду поставщиком услуг, в то время как удаленная сторонняя система будет поставщиком удостоверений.

Я не понимаю, как удаленная система узнает, какие пользователи есть в моих списках контроля доступа, чтобы иметь возможность авторизовать кого-либо.

Answer 1

Отображение между идентификаторами пользователей в IdP и пользователями в SP не охватывается самой спецификацией SAML. Я бы посоветовал вам ознакомиться с разделом 5.4 «Создание и управление федеративными удостоверениями» в SAMLOverview . Это должно помочь вам определить наиболее подходящий подход для вашего сценария.

Для системы, над которой я работаю (которая служит в качестве SP для нескольких клиентов / IdP), у нас есть механизм, с помощью которого клиенты могут связывать свои собственные идентификаторы с пользователями в нашей системе; этот механизм находится за пределами реализации SAML. Когда клиенты отправляют нам утверждения SAML, мы ожидаем, что эти утверждения идентифицируют пользователей с помощью этих идентификаторов (а также идентифицируют самого клиента с помощью другого общего идентификатора).