какой из этих двух методов лучше для архитектуры SAML

Question

Метод 1
Браузер направлен к поставщику услуг.Поставщик услуг проверяет, есть ли какой-либо набор файлов cookie. Если нет, он перенаправляет браузер на поставщика удостоверений, а поставщик удостоверений (IdP) проверяет пользователя и перенаправляет идентификатор на поставщика услуг (SP).SP берет этот идентификатор и устанавливает его как cookie сеанса в браузере и перенаправляет пользователя на обслуживание.В следующий раз, если пользователь снова запрашивает обслуживание в том же сеансе, SP проверяет наличие cookie и перенаправляет его непосредственно в службу.

Метод 2
Браузер направляется поставщику услуг.Поставщик услуг перенаправляет на IdP.IdP проверяет наличие своего cookie-файла, и если cookie-файл отсутствует, IdP аутентифицирует пользователя и устанавливает cookie-файл сеанса в браузере.Перенаправляет положительный ответ на ИП.ИП перенаправляет пользователя на сервис.В следующий раз, когда пользователь запрашивает услугу в течение сеанса, браузер направляется к поставщику услуг.Поставщик услуг перенаправляет на IdP.IdP проверяет его cookie и, если он присутствует, отправляет положительный ответ SP.

Answer 1

Я почти уверен, что Гуанси реализация Shibboleth (профиль SAML2) и почти уверен, что Сам Shibboleth может быть упрощен до вашего "метода 1".

Вам лучше проверить некоторые из существующих реализаций профиля SAML2.

Answer 2

Я не верю ни в одну из этих реализаций SAML.Обычно в SAML информация об идентичности передается через HTTP POST или через веб-службу SOAP (см .: http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language#SAML_2.0_bindings). Cookies не используются для «аутентификации» пользователя.

У нас есть веб-приложение, которое использует SAML2.0 XML сообщается в HTTP POST для аутентификации пользователя. Сотрудники нашего клиента проходят через поставщика удостоверений на своей стороне брандмауэра для доступа к нашему приложению.