SAMLアサーションの処理はどのように機能しますか？

Question

私はSAMLソリューションでサービスプロバイダになる必要があり、アサーションの処理がどのように機能するかを知りたいと思っています。私は答えhereを見つけることができませんでした。

「私はJohn Doeです。私のIDは999ですか？」というような主張があると思いますか？アイデンティティプロバイダと「同期している」ユーザリストが必要ですか？アクセスコントロールリストにSAMLアサーションと同じIDが必要ですか？

シナリオ：私はACLを持つデータベースを持っています。私はサービスプロバイダになり、遠隔の第三者システムはアイデンティティプロバイダになります。

リモートシステムがどのように私のアクセスコントロールリストに誰が権限を持つことができるのかを知る方法はわかりません。

Answer 1

IdPのユーザーIDとSPのユーザーの間のマッピングは、SAML仕様書自体ではカバーされません。私は、セクション5.4、 "連合アイデンティティの確立と管理"をSAMLOverviewに見ることをお勧めします。それはあなたのシナリオに最も適切なアプローチを決定するのに役立ちます。

私が取り組むシステム（複数のクライアント/ IdPのSPとして機能する）では、クライアントが独自の識別子をシステム上のユーザーに関連付けることができるメカニズムがあります。このメカニズムはSAML実装の外にあります。クライアントがSAMLアサーションを送信すると、これらのアサーションでは、これらのアサーションを使用しているユーザを識別したり、別の共有識別子を使用してクライアント自体を識別したりすることが期待されます。