Comment mettre en œuvre SAML SSO
comment L'OSAMP est-elle habituellement mise en œuvre?
j'ai lu (n. B. obsolète) sur L'utilisation de SAML avec Googleapps, et l'entrée wikipedia sur SAML.
l'entrée wikipedia parle de répondre avec des formulaires contenant des détails de la SAMLRequest et de la SAMLResponse. Est-ce à dire que l'utilisateur doit physiquement soumettre le formulaire afin de procéder à la connexion unique?
l'entrée de google parle de l'utilisation de redirections, ce qui me semble plus indécent. Cependant, il parle également d'utiliser un formulaire pour la réponse que l'utilisateur doit soumettre (bien qu'il parle d'utiliser JavaScript pour soumettre automatiquement le formulaire).
c'Est la façon habituelle de faire cela? Utilisation de redirections et de JavaScript pour la soumission de formulaires?
est-ce que quelqu'un connaît d'autres bonnes ressources sur la façon de procéder à la mise en œuvre de SSO entre un domaine Windows et une application web J2EE. L'application web est sur un réseau/domaine séparé. Mon client veut utiliser CA Siteminder (avec SAML).
3 réponses
la façon dont cela fonctionne est que, après avoir authentifié l'utilisateur, le fournisseur D'identité SAML (IdP) rend un formulaire au navigateur contenant la réponse SAML - l '"action" du formulaire (cible) est le fournisseur de services (SP). Dans le HTML, il y a un événement JavaScript onLoad qui soumet le formulaire, donc l'effet net est que l'utilisateur est automatiquement pris de L'IdP à la réponse SP, SAML en main.
La seule fois qu'un utilisateur devra cliquer sur n'importe quoi pour soumettre le formulaire est si elles désactiver JavaScript. Dans ce cas, les implémentations SAML fournissent généralement un message avec un bouton pour appuyer sur le <noscript> balise.
Pour plus de détails, voir cet article que j'ai écrit il y a quelques années - mais notez, 'Lightbulb' est obsolète depuis longtemps maintenant - pour PHP SAML voir simpleSAMLphp.
c'est une honte votre client veut utiliser CA SiteMinder - l'open source OpenAM (anciennement connu sous le nom D'OpenSSO) fait cela assez facilement.
Cet article explique très bien. Il y a aussi des exemples pour différentes plateformes.
si Siteminder est la partie utilisatrice, alors vous devez écrire à un agent personnalisé pour prendre un artefact SAML et créer une session SM. Sinon, vous aurez besoin d'acheter un produit qui a cette fonctionnalité déjà intégrée.