问SP发起的SSO与IDP发起的SSO的区别

EN

在IDP Init SSO (未经请求的Web SSO)中，通过IDP向SP发送未经请求的SAML响应来启动联合进程。在SP-Init中，SP生成一个AuthnRequest，作为联合过程的第一步发送给身份提供商，然后身份提供商以SAML响应进行响应。我对SAML2.0WebSSO SP-Init的ADFSv2支持比它的IDP-Init支持更强:与第三方Fed产品的集成(主要是围绕着对RelayState的支持)，所以如果你有选择的话，你会想要使用SP-Init，因为它可能会让ADFSv2的生活变得更容易。

下面是PingFederate 8.0入门指南中的一些简单的单点登录描述，您可以浏览一下，它们也可能对您有所帮助-- https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html

IDP发起的单点登录

来自PingFederate文档:- https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

在此情形中，用户登录到IdP并尝试访问远程SP服务器上的资源。SAML断言通过HTTP POST传输到SP。

处理步骤：

1. 用户已登录到IdP。
2. 用户请求访问受保护的SP资源。用户未登录到SP site.
3. Optionally，。IdP从用户数据存储区检索属性。IdP的
4. 服务向浏览器返回

表单，其中包含包含身份验证断言和任何其他属性的

1. 响应。浏览器会自动将超文本标记语言表单发送回SP。

SP发起的单点登录

来自PingFederate文档：- http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

在此方案中，用户尝试在未登录的情况下直接访问SP网站上的受保护资源。用户在SP站点上没有帐户，但具有由第三方IdP管理的联合帐户。SP向IdP发送身份验证请求。请求和返回的SAML断言都是通过HTTP POST通过用户浏览器发送的。

处理步骤：

1. 用户请求访问受保护的SP资源。该请求被重定向到联合服务器以处理authentication.
2. The，联合服务器向浏览器发回一个带有IdP身份验证请求的HTML表单。
3. 如果用户还没有登录到IdP站点或者如果需要重新认证，则IdP要求凭证(例如，ID和密码)和用户日志可以从用户数据存储中检索关于用户的信息以包括在IdP响应中。(这些属性是作为IdP和SP之间的联合协议的一部分预先确定的)
4. IdP的单点登录服务向浏览器返回一个
5. 表单，其中包含身份验证断言和任何其他属性。浏览器会自动将HTML表单发送回SP。注意： SAML规范要求对POST响应进行数字签名。
6. (未显示)如果签名和断言有效，SP将为用户建立会话并将浏览器重定向到目标资源。

SP发起的SSO

帐单用户：“嘿，吉米，给我看看那份报告”

吉米的SP：“嘿，我还不确定你是谁。我们这里有一个程序，所以你先去验证一下IdP鲍勃。我信任他。”

IdP鲍勃：“我看是吉米派你来的，请把你的证件给我。”

帐单用户：“嗨，我是比尔。这是我的证书。”

鲍勃的IdP：“嗨，比尔。看起来你退房了。”

IdP鲍勃：“嘿，吉米。这个叫比尔的家伙已经结账了，这里有一些关于他的额外信息。你可以从这里做任何你想做的事情。”

吉米：“好的，酷。看起来比尔也在我们的已知客人名单中。我让比尔进来。”

IdP发起的单点登录

帐单用户：“嘿，鲍勃。我想去吉米的地方。那里的保安很严密。”

IdP鲍勃：“嘿，吉米。我信任比尔。他结账了，这是关于他的一些额外信息。你可以从这里做任何你想做的事情。”

吉米：“好的，酷。看起来比尔也在我们的已知客人名单中。我让比尔进来。”

我将在这里详细介绍，但仍然保持简单：https://jorgecolonconsulting.com/saml-sso-in-simple-terms/。