web-dev-qa-db-ja.com

SPが開始したSSOとIDPが開始したSSOの違い

SPで開始されたSSOIDPで開始されたSSOの主な違いについて説明できますか?ADFS + OpenAM Federation?

single-sign-onadfs2.0openam
94
pbhle

IDP Init SSO(非送信請求Web SSO)では、IDPが非送信請求SAMLレスポンスをSPに送信することにより、フェデレーションプロセスが開始されます。 SP-Initでは、SPは、フェデレーションプロセスの最初のステップとしてIDPに送信されるAuthnRequestを生成し、IDPはSAML応答で応答します。 SAML2.0 Web SSO SP-Initに対するIMHO ADFSv2のサポートは、IDP-Initのサポートよりも強力です。サードパーティFed製品との統合(主にRelayStateのサポートを中心に展開)ので、選択があれば、SP- ADFSv2を使用すると、おそらく初期化が楽になります。

以下に、PingFederate 8.0入門ガイドの簡単なSSOの説明をいくつか紹介します。これらの説明も参考になります-- https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task /idpInitiatedSsoPOST.html

67
Ian

IDPが開始したSSO

PingFederateドキュメントから:- https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

このシナリオでは、ユーザーはIdPにログオンし、リモートSPサーバー上のリソースにアクセスしようとします。 SAMLアサーションは、HTTP POSTを介してSPに転送されます。

処理手順:

  1. ユーザーがIdPにログオンしました。
  2. ユーザーは、保護されたSPリソースへのアクセスを要求します。ユーザーはSPサイトにログオンしていません。
  3. オプションで、IdPはユーザーデータストアから属性を取得します。
  4. IdPのSSOサービスは、認証アサーションと追加の属性を含むSAML応答とともにHTMLフォームをブラウザーに返します。ブラウザは自動的にHTMLフォームをSPにポストバックします。

SPが開始したSSO

PingFederateのドキュメントから: http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

このシナリオでは、ユーザーはログオンせずにSP Webサイト上の保護されたリソースに直接アクセスしようとします。ユーザーはSPサイトにアカウントを持っていませんが、サードパーティのIdPによって管理されているフェデレーションアカウントを持っています。 SPは、認証要求をIdPに送信します。リクエストと返されたSAMLアサーションの両方が、HTTP POSTを介してユーザーのブラウザを通じて送信されます。

処理手順:

  1. ユーザーは、保護されたSPリソースへのアクセスを要求します。要求は、認証を処理するためにフェデレーションサーバーにリダイレクトされます。
  2. フェデレーションサーバーは、IdPからの認証のためのSAML要求とともにHTMLフォームをブラウザーに送り返します。 HTMLフォームはIdPのSSOサービスに自動的に投稿されます。
  3. ユーザーがIdPサイトにまだログオンしていない場合、または再認証が必要な場合、IdPは資格情報(IDやパスワードなど)を要求し、ユーザーはログオンします。

  4. ユーザーに関する追加情報は、SAML応答に含めるためにユーザーデータストアから取得できます。 (これらの属性は、IdPとSP間のフェデレーション契約の一部として事前に決定されています)

  5. IdPのSSOサービスは、認証アサーションと追加の属性を含むSAML応答とともにHTMLフォームをブラウザーに返します。ブラウザは自動的にHTMLフォームをSPにポストバックします。 注:SAML仕様では、POST応答にデジタル署名が必要です。

  6. (表示なし)署名とアサーションが有効な場合、SPはユーザーのセッションを確立し、ブラウザーをターゲットリソースにリダイレクトします。

74
user3061250

SPが開始したSSO

ユーザーに請求する:「ちょっとジミー、そのレポートを見せて」

SPのジミー:「ねえ、まだ誰なのかわかりません。ここにプロセスがあるので、まずIdPのボブに自分自身を確認してもらいます。彼を信頼しています。」

IdPのボブ:「ジミーがあなたをここに送ったようです。資格情報を教えてください。」

ユーザーに請求する:「こんにちは、ビルです。ここに私の資格情報があります。」

IdPのボブ:「こんにちは、ビル。チェックアウトしているようだ。」

IdPのボブ:「ちょっとジミー。この男ビルはチェックアウトし、彼についての追加情報があります。ここから好きなことをしてください。」

SPジミー:「わかりました。ビルも既知のゲストのリストに載っているようです。ビルを入れましょう。」

IdP開始SSO

ユーザーに請求する:「ボブ、ジミーの家に行きたい。あそこのセキュリティはきつい。」

IdPのボブ:「ちょっとジミー。私はビルを信頼しています。彼はチェックアウトし、ここに彼についての追加情報があります。あなたはここから何でもしたいです。」

SPジミー:「わかりました。ビルも既知のゲストのリストに載っているようです。ビルを入れましょう。」

21
2upmedia