web-dev-qa-db-ja.com

SAML 2.0は、認証のためにユーザー名とパスワードを渡す方法を定義していますか?

SAMLがシングルサインオン(SSO)にどのように使用されるかを知っています。つまり、SPからIDPにリダイレクトし、SAML応答/アサーションからユーザーのIDを取得します。

私の質問は、SAML 2.0仕様は、認証用のSAMLリクエストXMLの一部としてユーザー名とパスワードを渡す方法を定義していますか?シングルサインオンについて話しているのではなく、ユーザー名/パスワードの認証が必要なことに注意してください。

4
ksrini

SAMLは、サービスプロバイダーからIDプロバイダーへのユーザー名とパスワードの送信をサポートしていません。 SPから送信される可能性のあるAuthnRequest(認証要求)があり、SPでセッションを開始し、IdPに「このユーザーが誰なのかわからない-認証してから、この場所にユーザーのIDを入力し、このRelayStateを渡して、ユーザーを関連付けるセッションを知らせます。」

あなたが尋ねていること(サービスプロバイダーがユーザー名/パスワードをアイデンティティープロバイダーに直接渡し、アサーションを取得すること)は [〜#〜] sts [〜#〜] の関数です、またはセキュリティトークンサービス。非常に一般的なSTS実装は WS-Trust です。これは、通常、応答でSAMLアサーショントークンを「ラップ」します。

5
Andrew K.