SAML2.0を使用してアプリケーションユーザーを認証する必要がある状況があります。 SAMLサーバーはパブリックドメインでホストされ、アプリケーションはローカルイントラネットで実行されます。ローカルプライベートIPへのリダイレクト応答を伴うSAML SSO要求
SAMLが認証後にローカルアプリケーション(ローカルIP)にユーザーをリダイレクトすることをサポートするのではないかと思います。
これはデフォルトであり、SAMLサーバー側で特別な設定が必要なのですか?
アプリケーションがローカルイントラネットからアクセスされている場合は、間違いなく動作します。それに必要な追加設定はありません。理由は簡単です - SAMLはHTTPリダイレクトとフォームポストを使用してSAMLトークンを渡します。したがって、2つのアプリケーション(IdPとSP)がアクセス可能であれば、それは動作します。
私はAzure上にADFSサーバーを公開しています.SPは私のラップトップでのみアクセス可能な私のローカル開発環境にあります。できます。
です上記の質問に加え..シナリオでは、SAMLはアプリケーションに必要な認証のようにユーザを前後にリダイレクトすることなく、バックグラウンドタスク(例えば、サービスのようなREST)を使用して認証するか? – BlueBird
いいえ。SAMLはRest APIでは動作しません。ブラウザのセッションに応じて、HTTPリダイレクトまたは投稿要求が必要です。 OAuth、OpenID Connect、JWTのような他のプロトコルがあり、ユーザーをIdPに一度だけリダイレクトしてトークンを取得し、後続のすべてのRestサービス呼び出し(承認ヘッダー)でそのトークンを使用してアプリケーションを認証します。トークンが期限切れになった場合は、IdPのリフレッシュトークンAPIを呼び出すことができます。もちろん、IdPがこれらのプロトコルをサポートしているかどうかによって異なります。たとえば、Azure ADはSAMLとJWTをサポートしています。 – nikhilahuja
SAMLプロトコルは、特定のバインディングに対して 'RelayState'リクエストパラメータを提供します。例えば。あなたのアプリケーションにSAML SPとして動作するターゲットURLを指定することができます。http://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf
パブリックドメインのSAMLサーバーは、アイデンティティプロバイダの役割またはサービスプロバイダの役割にありますか?私はあなたのユーザーがプライベートドメインにアクセスできると推測しています... –
SAMLサーバーはIDプロバイダ – BlueBird