2

我正在研究有关 SSO 的一些新用法。基本上,我试图找到方法来拦截从服务提供商发送到身份提供商的 SAML 请求,该请求使用某种 IdP 代理或 3rd 方服务,它将保存 SAML 请求并向用户提供一些额外的功能。所需的过程可能如下所示:

  1. 用户从 SP 调用 SAML 请求 - 例如单击登录按钮
  2. 用户被重定向到第 3 方服务,例如小调查(这是理论示例)
  3. 提交调查后,用户被重定向到 IdP 并应继续登录

我在 SimpleSAMLphp 和配置联合方面有很好的经验。但是我试图找到有关这种拦截的一些有用信息的尝试失败了。我添加了解决方案的超级基本图片。(请不要笑:))

SAML 是否支持任何类型的这种处理?我愿意讨论。我还想在用户登录 IdP 后拦截 SAML(从 IdP 重定向到第 3 部分服务代理,然后重定向到 SP)

感谢您的建议和想法;希望这不是一个完全愚蠢的问题

在此处输入图像描述

编辑:在我的研究中,我遇到了称为 IDP 代理的技术/方法。你认为这对我的目的可行吗?基本上,SAML IdP 代理是 SAML IdP 联盟和 SAML SP 联盟之间的桥梁或网关。更多关于它的例子在这里

4

1 回答 1

3

我认为这是不可能的,它只是超出了协议。SP提供服务,IdP负责用户认证。两者之间似乎没有第 3 方服务的地方。

我猜你控制(至少)SP 或 IdP。尝试在您控制的提供商处实施您的调查(或其他)。

作为替代方案,您可以尝试实施自己的 IdP,包括使用原始 IdP 进行身份验证的调查(或其他)。

于 2013-09-25T20:29:04.173 回答