single-sign-on - 如何为 SAML Google IDP 预填电子邮件？

Question

我们将 SAML 2.0 用于 SSO，并希望通过允许用户仅输入一次电子邮件（以识别他们需要 SSO）来改进 UX。使用 Google 的 SAML IDP 进行身份验证时，是否可以预先填写 SAML SSO 电子邮件字段？

我知道 AuthnRequest 有一个可选的主题字段，可以将主体信息传递给 IdP，但到目前为止，我还没有设法预先填充 Google 的 SSO 表单。IdP 不支持它，或者我发送了错误的配置。

我一直在尝试使用的现有配置如下所示：

<AuthnRequest xmlns="urn:oasis:names:tc:SAML:2.0:protocol" ID="_cd...." Version="2.0" IssueInstant="2019-01-01T00:00:00Z" Destination="https://accounts.google.com/o/saml2/idp?idpid=...">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">(issuer_name)</saml:Issuer>
    <Subject xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
        <NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">me@example.com</NameID>
    </Subject>
</AuthnRequest>

我希望 Google SSO 表单能够自动填充 me@example.com，但没有任何反应。

score 0 · Accepted Answer

Subject 元素在身份验证请求中是可选的，即使包含在内，大多数 IdP 也会忽略它。由于身份验证请求可以由匿名方发送给身份提供者，因此执行您正在考虑的用户体验操作肯定会导致简单的网络钓鱼向量。

single-sign-on - 如何为 SAML Google IDP 预填电子邮件？

1 回答 1

Related

Reference