0

在我的场景中,我有以下架构元素: - SAML 安全门户(域 A) - 用户 - SAML 安全 API(域 B,与门户不同的域) - IdP
未经身份验证时,用户将首先登录到门户,门户会将他重定向到身份提供者进行登录。一旦登录到 IdP 并因此登录到门户,门户将拥有识别用户的 SAML 令牌。

现在,此门户将需要自动调用 API(存在于另一个域中),并将识别用户的 SAML 令牌传递给它。问题是门户仅拥有已提供给他的令牌,因此我的问题是:

如何通过调用链传播用户的身份?

例如,是否可以在不同的依赖方之间共享相同的令牌?如果是,发行代币应遵守哪些约束以确保它可以被不同实体“共享”?

提前谢谢了!

4

1 回答 1

0

一种方法可能是门户网站而不是直接调用 API,而是将用户重定向到 API。

这样,API 会发现用户没有有效的会话,将重定向到用户已经通过身份验证的 IdP。然后,IdP 将使用 API 的 SAML 响应重定向回 API。

这对用户来说都是透明的,他们只会看到 API 的结果。

于 2013-07-11T09:15:01.563 回答