我无法理解服务提供者的入站身份验证配置和身份提供者的联合身份验证器配置之间的区别 .
-
我添加了新的服务提供商并配置了SAML入站身份验证配置 .
-
我使用仪表板添加了一个新用户 .
-
我在tomcat上部署了一个Web应用程序(travelocity)作为服务提供者,它向IS服务器请求SAML身份验证
-
当我点击travelocity 's SAML login link, it forward to IS server'的登录页面 .
-
我插入用户/密码,登录成功 .
在此过程中,我没有配置身份提供程序,但身份验证工作正常 . 但我在身份提供商的联合身份验证器配置(SAML)中发现了一些类似的配置 . 我无法理解为什么需要联合身份验证器配置 .
我理解如下 .
当用户信息(id,密码等)存储在IS服务器中并且认证过程在IS服务器中处理时,SP(服务提供商)的入站认证配置就足够了 . 不需要配置IDP(身份提供者) . 这样对吗?
当用户信息(id,密码等)存储在另一个IS服务器或其他公司的服务器(google,facebook)中,并且身份验证过程正在另一个IS服务器或其他公司的服务器(google,facebook)中处理时,IDP的联合身份验证器配置(身份提供者)就够了 . 不需要配置SP(服务提供商) . 这样对吗?
在这种情况下,不需要配置身份提供程序 . 仅使用入站身份验证配置(SAML)时,它会在此实例中处理请求 . 在配置联合身份验证器配置(SAML)时,它会将请求转发给其他实例 . 这样对吗?
I want to know my idea is right or not.
Please give me some exmple about following cases.
-
案例只需要服务提供商
-
案例只需要身份提供者
-
案例需要服务提供商和身份提供商
1 回答
服务提供商是一个应用程序您需要为此应用程序添加身份验证 . 因此,您使用某些Identity Provider来配置身份验证功能 . 假设您使用WSO2IS,则需要在WSO2IS中配置SP相关配置 . 您可以使用服务提供商配置和入站身份验证来向SP注册SP和IDP可以相互通信的所需协议 .
现在,你的IDP是什么?是的,您的IDP是WSO2IS . 登录您的应用程序的用户也在WSO2IS内 . 用户可以通过提供用户/密码登录 .
比如,您的应用程序需要社交登录 . 您需要在自己的应用中添加Google登录信息 . 但您的应用程序的IDP是WSO2IS,您需要添加新的IDP作为Google . 那么,我们能做什么?您可以使用Identity Provider配置在WSO2IS中注册IDP . 通过定义出站身份验证配置,可以将此IDP映射到应用程序 . 在这里,您可以将WSO2IS和Google定义为您的应用程序的IDP . 我建议你去看一下有关WSO2IS这类用例的this博客文章 . 通常它被称为联合身份验证 .
除了一个SAML2 Bearer断言授权类型的情况之外,没有任何要求仅定义IDP .