私はsamlサービスプロバイダを実装しようとしていますが、単一のSPでカバーするシステムのレベルはわかりません。SSO SAML SP - 1つのSPでカバーするウェブサイトはいくつですか?
SPあたりのアーキテクチャーのレベルはどのように優れていますか?サーバー全体、ドメインごと、アプリケーションプールごと、または各サイトごとに1つの部門を持つ必要がありますか?
私たちの組織はshibboleth IDPを持っており、私はkentor authservicesを使用しています。 1つのサイトで動作しますが、spはそのサイトの一部です。 ベストプラクティスは、それがより一般的なもの(複数のサイトのための1つのエンティティID)になることに感謝するヒントがある場合、サイトごとに1つではないと仮定します。
どういうわけか、各サイト/アプリケーションにログイン情報を取得する必要があります。サイトごとにSP(Kentor.AuthServicesアプローチ)を使用するか、Webアプリケーションの前にShibboleth SPプロキシを設定します。後者は、Shibbolethが提供するhttpヘッダーを解析するために、各サイトにコードを追加する必要があることを意味します。私はそのアプローチが気に入らないので、Kentor.AuthServicesプロジェクトを開始しました。
私の好みは、Webアプリケーションフレームワークのために可能な限りネイティブであるモジュールを通して、各サイトを適切なSPにすることです。関連性のあるモジュールは、Kentor.AuthServices(.NET)、SimpleSamlPhp、Spring(Java)、saml2-js(node)です。
組織に、複数の上流のIDプロバイダと連携したい複数のサイト/アプリケーションがある場合、スケーラビリティではないNxM構成のペアが取得されます。この場合のオプションは、内部アプリケーションにIdpとして、外部IdpsにSPとして機能するSAML2 プロキシを挿入することです。新しいサイト/アプリケーションはプロキシでのみ設定する必要があり、新しい外部Idpsはプロキシで設定する必要があります。