SAML 2.0 IsPassiveオプション

Question

Apache Tomcat SAML 2.0ベースのシングルサインオン（SSO）で作業しているときに、SAML 2.0認証要求の下で 'IsPassive'という名前のプロパティが表示されました。

IsPassive [オプション]ブール値です。 「真」の場合、IDプロバイダ とユーザエージェント自体は、ユーザ のインタフェースをリクエスタから視覚的に制御し、顕著な方法でプレゼンタと対話してはならない（MUST NOT）。値を指定しない場合、デフォルトは "false"です。

この定義の最も正確な意味または例は、シングルサインオンシナリオではどのようなものですか。このプロパティはシングルサインオンでアクティブプロファイルとパッシブプロファイルとの接続を持っていますか？

Answer 1

まず、これはActive SSOまたはPassive SSOとは関係ありません。通常、「アクティブ」とはWebサービスベースのSSO（これはデスクトップクライアントアプリについて考えている）を指し、「パッシブ」は一般的にブラウザベースのSSOを指します。

第2に、IsPassive = Trueを送信することによって、SPは本質的にIDPに「ユーザーの関与なしで行うことができる場合にのみこのユーザーを認証する」と伝えます。 Web SSOの最も一般的な方法は、Kerberos（Windows認証の統合）またはx509かもしれないと思います。あるいは、IDPがすでにユーザーを認証していて、ユーザーが指定されたSP AuthnRequestで再利用できる有効なセッションを持っている場合、IsPassive = true要件IIRCを満たすものと見なされます。