我需要成为 SAML 解决方案中的服务提供者,并且想知道断言的处理是如何工作的。我在这里找不到答案。
我想断言会说:“我是 John Doe,我的 ID 是:999”?我是否需要与身份提供者“同步”的用户列表?我是否需要具有与 SAML 断言相同 ID 的访问控制列表?
场景:我有一个带有 ACL 的数据库。我将成为服务提供者,而远程第 3 方系统将成为身份提供者。
我不明白远程系统如何知道我的访问控制列表中有哪些用户能够授权任何人。
问问题
3346 次
1 回答
1
SAML 规范本身并未涵盖 IdP 的用户 ID 和 SP 的用户之间的映射。我建议您查看SAMLOverview中的第 5.4 节“建立和管理联合身份” 。这应该可以帮助您确定最适合您的方案的方法。
对于我工作的系统(作为多个客户/IdP 的 SP),我们有一种机制,客户可以通过该机制将自己的标识符与我们系统上的用户相关联;此机制在 SAML 实现之外。当客户端向我们发送 SAML 断言时,我们希望这些断言能够使用这些标识符来识别用户(以及使用另一个共享标识符来识别客户端本身)。
于 2011-01-10T16:57:51.253 回答