Можем ли мы настроить поток запросов SAML SSO через несколько приложений из IDP

Question

Я устанавливаю новый SSO SAML. Я получу запрос от Клиента к моему Приложению 1. Мое требование состоит в том, чтобы один и тот же запрос SAML передавался до Приложения 2 через Приложение 1. Мне удалось только найти запрос SAML от Клиента к Приложению 1 и от Клиента к Приложению 2 интернет. Но поток должен быть как клиент -> приложение1 -> приложение2. Посоветуйте, пожалуйста, возможна ли эта настройка?

Answer 1

Я бы порекомендовал сделать приложение 1 провайдером услуг и провайдером идентификации, но - ретранслятор провайдер идентификации. R-IdP действует как обычный IdP для любого приложения, которое использует его для аутентификации, но в то же время делегирует аутентификацию фактическому поставщику.

Затем настройте приложение App2 на использование App1 в качестве поставщика удостоверений.

Таким образом, вы убедитесь, что нет незаконного потока, связанного с прямым доступом к App2, и нет незаконного потока сообщений между App2 и фактическим поставщиком удостоверений.

Кроме того, вы не будете пытаться злоупотреблять протоколом, повторно используя тот же самый токен из App1 в App2, который, хотя технически возможен, звучит как нечто, что рано или поздно может вызвать проблемы.

Answer 2

Если «App2» является провайдером услуг, совместимым с SAMLv2, то этого сделать нельзя, так как он должен проверить «аудиторию» утверждения SAML, и для него установлен первый SP.