SAML単一のSP複数のコンシューマ/ドメイン

Question

私の雇用主が多くの異なるポータルを作成しているケースがあります。一部のポータルは異なるドメインにあり、一部はサブドメインにあります。

など。 portal.com、sub.portal.com、other-sub.portal.comだけでなく、portal-a.comまたはportal-b.comもあります。

これらのポータルはすべて私の雇用主に属し、関連し、維持されています。これらのすべてのポータルでの認証はSAMLで行われます。

• は毎年いくつかのIDP（交換メタデータ）への接続
• を設定するセキュリティ診断を行います。各ポータルのために我々が持っているので、これらのポータルのそれぞれのセットアップSAMLへ

  が面倒になりますあなたは、これが最終的には支持できないと管理が不可能になる想像できるようにIDP

に接続するための

有料サブスクリプション（IDPポリシーごとなど）。私たちは主にPHPでプログラミングしており、SimpleSAMLPHPライブラリを使用して私たちのために努力しています。

SPを1つ作成して、他のすべてのポータルがその1つを経由して（認証する）ことができますか。

この問題を解決する方法についてのアドバイスはありますか？論理的なセットアップは何ですか？

Answer 1

SAMLプロトコルを使用して複数のポータルアプリケーションを認証する必要があるため、外部アイデンティティプロバイダ（IdP）と通信する単一のサービスプロバイダ（SP）リバースWebプロキシサーバを使用し、すべてのポータルアプリケーションをその単一SPリバースウェブプロキシ。

すべてのポータルアプリケーションリクエストは、最初にプロキシ、次にSAML-SP、外部IdPでユーザー認証、プロキシでSAMLResponse受信、SAML-SPにSAMLResponseを転送してからポータルアプリケーションにアクセスします。

参照のためにShibbolethリバースプロキシを参照してください。 （PHPでも同様のことがあります）。 https://wiki.shibboleth.net/confluence/plugins/servlet/mobile#content/view/4358260