我只想检查用户是否存在于连接到 SAML 身份提供程序的 Active Directory 或 LDAP 中,而无需通过浏览器执行完整的 SSO。SAML IDP 是否在不实际执行 SSO 的情况下为用户查找提供任何 API?
问问题
646 次
3 回答
0
实际上没有办法用 SAML 解决这个问题。在 IdP 上进行的身份验证实际上超出了 SAML 规范的范围。实际上,IdP 不需要自己执行身份验证,而是可以将其委托给某个身份验证机构。
于 2020-07-08T07:18:26.047 回答
0
这是你想要的?SAML 令牌验证器。验证令牌后,您可以使用您的userService.findUserByXXX()方法检查 SAML 令牌中的给定用户是否存在。
于 2020-07-07T14:50:35.170 回答
0
如果您使用的是单一身份提供者,则可以使用 SAML 作为简单验证用户是否存在的传输工具来执行此操作。没有什么可以说明合作伙伴如何决定在他们之间实施该标准。IdP 不必实际让用户登录,SP 可以根据合作伙伴关系使用他们认为合适的数据。让律师解决这个问题。
从流程的角度来看,我可以看到它像这样工作......
作为服务提供商,您从您希望验证的用户那里收集帐户信息。您向 IdP 发送带有您的应用程序作为主题捕获的身份的 AuthnRequest。
IdP 只是将帐户是否在其存储库中作为“身份验证过程”进行验证。(眨眼眨眼)如果帐户存在,IdP 将主题和状态“成功”的 SamlResponse 发送回 SP。如果不是,则将主题和状态“错误”发回。
作为 SP,您现在知道用户是否存在(好吧,至少您知道 IdP 声称的内容),并且您可以对信息做任何您想做的事情。
哎呀,你甚至可以埋葬对不起?什么?是的,你可以在 iFrame 中嵌入重定向过程,并向用户展示一个可爱的微调器、一个有趣的猫 gif……或者只是做一个条形表来说明它在做什么,因为你应该对你的潜在用户诚实。
您知道,虽然我们变得疯狂而疯狂,但实际上您最好使用安全令牌服务 WS-Trust。但你没有问这个。因此,只需进行研究,然后将其与我的建议和您的用例进行比较,看看什么是满足您要求的最佳选择。
Sally 并围绕一个令人愉快的身份协议主力包装一个令人愉快的新用户体验,将实施过程中发生的事情留给我们所有的构建者。
于 2020-07-09T04:04:47.773 回答