SAML 2.0を使用して当社のWeb製品(app1)にシングルサインオンを実装しました。当社の製品はサービスプロバイダです。今では、クライアントの1人がapp1のリンクを尋ねています。このリンクはユーザーを自分のWebアプリケーション(app2)に連れて行き、ユーザーは自分のアプリケーションにシングルサインオンすることを期待しています。私は、彼らのapp(app2)がapp1が使用しているのと同じIDPを使用していると仮定しています。SAML2複数のサービスプロバイダ
私の理解に基づいて、私はapp2のAssertionConsumerへのリンクがその作業を行うべきだと思います。 app2へのリンクがクリックされると、app2のAssertionConsumerはapp1からの要求を処理できます。誰かがチャイムに参加して、私が何かを見逃しているかどうかを知らせてくれることを感謝します。
あなたはアサーション消費者にリンクすることはできませんURL。 app2の関連ページにリンクします。 App2は、ユーザーが認証されていないことを検出し、認証のためにIDPに送信します。 IDPは、ユーザーが既に認証されていることを検出し、元のページにユーザーを戻します。
ユーザーが到着したときにapp2はパッシブ認証を行いますか?もしそうなら、あなたはapp2のページにリンクして、IdPにそれを伝えようとするのではなく、ユーザのログインステータスを尋ねるようにしてください。
app2がIdPで自動的にチェックしない場合は、おそらくapp2のページにリンクする必要があります。には authが必要です。
一般に、IdPの全ポイントはです。ユーザーが認証されているかどうか(およびその方法)をSPに伝えることが信頼できるものなので、追加の信頼システムを構築しないでくださいと SPの間。 (それを信じる前に、彼らは、現在のユーザーが特定の誰かに、あるいはログインしていることを相互にをヒント場合は罰金ですが、IdPのと彼らはすべきチェック。)
私はまだこのapp2に関するすべての情報を持っていません。申し訳ありませんが、私はSAMLに精通していませんが、パッシブ認証とは、SPによって開始された認証を指しています。 – user1839702
ありがとうございます。申し訳ありませんが、私はSAMLに精通しているわけではありませんが、私がAssertionのコンシューマのURLを意味するとき、私はAssertionConsumerServiceの場所を意味しました。しかし、私はあなたが言っていることを見ている - 私たちは、IDPと通信するapp2の関連URLにリンクする必要があります。 – user1839702
それは正しいです。 SAMLは難しく、最初は難しいかもしれません。お気軽に質問してください。答えを正しいものとしてマークしてください –