1

我一直在阅读有关使用 Shibboleth 2.0 作为单点登录技术的文章。我有一个困惑是身份提供者 (IdP) 是否有可能向服务提供者 (SP) 发送回一个电子邮件属性,该属性可以准确地向 Web 应用程序指示谁在登录。

例如,如果用户 Joe 被指示使用电子邮件 joe@acme.com 在 IdP 注册(创建用户/通行证等),并且我的应用程序可以唯一标识 joe@acme.com,那么来自 IdP 的身份验证响应可以表示 1.) 是的,这个人就是他所说的那个人,并且 2.) 他的电子邮件是 joe@acme.com。

在 Shibboleth 联合中,SSO 的一个主要优势似乎是应用程序不需要知道Joe 在 IdP 选择的特定用户名和密码的任何信息真的吗?如果是这样,这是一个好的设计,或者,制作这样一个系统的风险和考虑是什么。

如果这不是一个好的设计,那么常见的替代方案是什么?

在我的应用程序中,我支持 SSL,并且我所有的个人电子邮件都是已知且唯一的。谢谢。

4

1 回答 1

0

是的,身份验证的一部分是识别谁刚刚登录。Shibboleth 确实提供了将其作为 SAML 响应的一部分传回的机制。

有关这部分对话的一般描述,请参阅https://spaces.internet2.edu/display/SHIB2/FlowsAndConfig#FlowsAndConfig-4.IdPIssuesResponsetoSP 。IdP 发回一个“断言”,其中包括您希望的人的所有属性。Shibboleth 只能将属性发送到某些 SP——请参阅https://spaces.internet2.edu/display/SHIB2/IdPAddAttributeFilter

于 2010-12-21T16:23:24.583 回答