1. ホーム
  2. 質問と答え
  3. IdPまたはSPによってSAMLアーティファクトバインディングが開始されていますか?

IdPまたはSPによってSAMLアーティファクトバインディングが開始されていますか?

2016-11-24 4 views
0

SAML認証のさまざまなバインディングタイプを検討しています。IdPまたはSPによってSAMLアーティファクトバインディングが開始されていますか?

  • SPはアーティファクトをIdPに送信し、IdPは同じアーティファクトをSPに返します。これは、SPとIdPの間で手を振っています。
  • SPは、バックチャネルを通じてアーティファクトに対応する実際のSAMLで応答するようになりました。

しかし、クエリは、IdPの場合の結合アーティファクトを開始し、どのIdPが次のことを知っているんされています

  • ポーリングするSP?
  • いつSPをポーリングするのですか?
  • 属性アサーションSAMLメッセージはSP側にあります。それで、IdPはSPからの事前の連絡なしに、対応するArtifactについてどのように知っていますか?

出典

2016-11-24 Sourav Purakayastha

答えて

1

アーチファクトバインディングが誤解されていると思います。アサーションをIDPからSPに転送するために使用する場合、Artifactバインディングはこのように機能します。

  1. IDPは通常、ブラウザ上でSPにアーティファクトを送信します。
  2. SPはArtifactをIDPに、通常はバックチャネル経由で送信します。 ex SOAP。
  3. IDPは、アサーションを含むArtifactResponseで応答します。より大きな視点で

認証を行う場合、フローは、ユーザーがSPがユーザーをインターセプトし、それがない持っていることを見ているSP

  • によって管理サイトにアクセスしようとすると、この

    1. のようなものです認証されました。
    2. ユーザは認証のためにIDPに送信されます。
    3. ユーザーは自認されており、アサーションが作成されています。
    4. ユーザはアサーションでSPをtougetherに戻します。アーティファクトバインディングが使用されている場合、ユーザーはアーティファクトを返送します。
    5. SPはバックチャネルを介してアサーションのアーティファクトを交換します。

    • 出典

    2016-11-24 10:45:38

    +0

    答えの最初の点は、IdPがアーティファクトをブラウザにSPに送信することを示しています。しかし、IdPがArtifactを送信するSPをどのように知っているか、IdPが複数のSPを処理できるようにアーティファクトを送信するタイミングをどのように知っているのかは分かりません。 –

    +0

    私は答えを延長しました。ユーザは、アーティファクトとともに、認証を要求したSPに返信されます。 –

    +0

    アーティファクトバインディングは、IdP開始SSOまたはSP開始SSOフローで使用できます。 Stefanが指摘したように、Artifactバインディングはいわゆるバックチャネルバインディングなので、SPはアーティファクト解決プロトコルを使用してIdPから実際のアサーションを取得するステップ6もあります。したがって、SPはIdPのアーティファクト解決サービス(IdP MetaDataで定義されている)と通信することが可能でなければなりません。 –

     関連する問題

    • 関連する問題はありません^_^