在spring saml web app中是否可以同时存在dp发起的单点登录和sp发起的单点登录?
在Spring SAML Web App中,可以同时存在DP(Identity Provider)发起的单点登录和SP(Service Provider)发起的单点登录。
单点登录(Single Sign-On,简称SSO)是一种身份验证机制,允许用户使用一组凭据(如用户名和密码)登录到一个系统后,可以无需再次输入凭据即可访问其他受信任的系统。在Spring SAML中,DP和SP分别代表了身份提供者和服务提供者的角色。
DP发起的单点登录是指用户首先通过DP进行身份验证,然后将身份验证凭据传递给SP,以便在SP上进行授权访问。SP发起的单点登录是指用户首先通过SP进行身份验证,然后将身份验证凭据传递给DP,以便在DP上进行授权访问。
在Spring SAML Web App中,可以配置同时支持DP发起的单点登录和SP发起的单点登录。通过适当的配置和集成,可以实现以下功能:
- DP发起的单点登录:用户通过访问SP的应用程序,被重定向到DP进行身份验证。一旦身份验证成功,DP将生成一个SAML断言(Assertion),并将其发送回SP。SP使用该断言验证用户的身份,并授权用户访问受保护的资源。
- SP发起的单点登录:用户通过访问DP的身份提供者页面,被重定向到SP进行身份验证。一旦身份验证成功,SP将生成一个SAML断言,并将其发送回DP。DP使用该断言验证用户的身份,并授权用户访问受保护的资源。
通过同时支持DP和SP发起的单点登录,可以实现跨系统的身份验证和授权,提供更好的用户体验和安全性。
在腾讯云的产品中,可以使用腾讯云身份提供者服务(Tencent Cloud Identity Provider Service)来实现DP发起的单点登录和SP发起的单点登录。该服务提供了身份提供者和服务提供者的功能,并支持SAML协议。您可以通过以下链接了解更多关于腾讯云身份提供者服务的信息:
腾讯云身份提供者服务:https://cloud.tencent.com/product/idp
相关·内容
我知道SAML是如何用于单点登录(SSO)的。也就是说,从SP重定向到IDP,并从SAML响应/断言中获取用户的身份。
我的问题是:SAML2.0规范是否定义了如何将用户名和密码作为SAML请求XML的一部分进行身份验证?请注意,我不是指单点登录,而是要对用户名/密码进行身份验证。
浏览 0提问于2016-06-07得票数 6
回答已采纳
参考下图(),我了解单点登录设置在企业中是如何工作的,在企业中,身份验证服务器充当组织的集中式IdP。
我的问题是,它如何与外部或合作伙伴应用程序(比如domain4.com)一起工作,这些应用程序的用户对于身份验证服务器是未知的(假设它是Azure AD)。如果有人能证实我对这两种情况的理解,我将不胜感激。
场景1)作为SP的domain4.com,即domain1.com用户尝试通过SSO访问domain4.com应用程序
假设domain4.com在Azure AD中被配置为受信任的应用程序,使用单点登录(SAML或OpenIDC),它允许domain1.com用户访问domain4.
浏览 0提问于2020-08-18得票数 0
1回答
关于我们的环境的一些背景:
使用CustomAuthProvider的服务堆栈SP
角6前端
企业联合会IdP
用户可以通过单击一个按钮向我们进行身份验证,然后我们的SP会将它们重定向到IdP。一旦他们已经通过IdP认证,它将通过HTTP将我们的响应发送回我们的ACS。
从那里我们如何通过我们认证用户?我们是否应该将重定向发送回浏览器,然后登录页面将发出一个正常的/auth/凭据请求?我们的/auth/凭据路由使用用户名和密码,我们没有SAML响应中的用户名和密码。这部分让我非常困惑,任何帮助都将不胜感激!
浏览 0提问于2018-08-01得票数 1
回答已采纳
在我的一个开发中(使用kerberos身份验证与HtmlUnit一起登录),它在所有情况下都工作得很好,但在访问SAML2使用的单点登录身份验证链接后面临一个问题。
我一直在搜索,没有适当的解释来获得更多关于单点登录安全页面的SAML2身份验证的信息。
我是一个全新的单点登录身份验证和SAML2身份验证的新手,有没有单独的应用程序接口?请帮助我了解更多关于这方面的信息。
您能否帮助或建议通过用户名/密码进行身份验证的最佳流程。
谢谢
浏览 14提问于2017-02-22得票数 0
我正在做一个需要单点登录的项目。系统A在数据库中查找用户名和密码,而系统B仅使用SAML 2.0进行身份验证。在这种情况下,系统B将是服务提供商(SP)。我是SAML SSO的新手,所以我不能百分之百确定我的方法是正确的。系统A必须是我猜测的IDP。用户将登录到系统A,并在成功登录后将进一步的信息发布到系统B,以完成SSO过程。这是准确的吗?
浏览 4提问于2016-01-14得票数 2
2回答
我是SAML的新手,我需要一些澄清。
我有一个asp.net mvc应用程序。现在我想使用tableau并显示一些图表。我希望通过SAML SSO通过对tableau的身份验证。我的需求就像,
我的应用程序/ Tableau服务器通过HTTP充当SAML
SP将用户重定向到Idp以进行身份验证。
SAML IdP使用身份验证结果将用户重定向回SAML,原始请求继续进行。
SAML SP告诉Tableau可信身份验证用户已经成功地进行了身份验证。
可信身份验证向用户颁发信任票证。
用户能够访问(授权) Tableau视图/内容。
为此,我需要创建国内流离失所者。
浏览 1提问于2013-12-16得票数 0
我使用Keycloak作为我的应用程序的代理,这是由OIDC保护的。我有一些SAML2.0身份提供商,他们可以很好地进行身份验证,当做SP发起的单点登录时,但我希望也能够做IDP发起的单点登录,例如直接从Okta或GSuite启动。我知道如果客户端是SAML2.0客户端,这是可能的,但我的客户端是OIDC。那么,SAML2.0IdP发起的SSO到Keycloak中的OIDC客户端是可能的吗? 我要补充的是,我已经通读了文档和邮件列表帖子,并得出了一个模棱两可的“也许”。
浏览 37提问于2019-04-16得票数 0
我们已经建立了一个独立的SaaS产品,我们正在吸引那些希望他们的用户直接登录的企业客户。我们不寻求授权,只寻求更简单的身份验证;用户无需输入姓名或电子邮件地址即可获得帐户。
我们希望让我们的企业客户能够连接到我们的登录系统。一旦我们实现了Oauth2,我们是否需要为最终客户提供身份验证服务器,或者这是他们自己排序的东西?
浏览 3提问于2013-07-23得票数 0
回答已采纳
我有一个允许通过SAML2进行单点登录的服务。当使用SAML2时,我们将整个身份验证过程委托给身份提供者。
为了支持一些移动应用程序,我们正在考虑添加OAuth。(我们不希望用户不得不经常登录。)
很明显,当我们使用自己的用户名/密码身份验证时,它们将如何协同工作,因为我们控制了整个堆栈。
然而,OAuth将如何与SAML2 SSO交互?例如,如果身份提供程序删除了用户,那么应该如何使OAuth授予无效?还有什么其他的问题(希望是标准解决方案)?
浏览 0提问于2013-04-06得票数 12
回答已采纳
1回答
我有一个web应用程序,它根据SAML 2.0协议使用身份提供者进行身份验证。
此web应用程序(服务提供商)是否必须验证每个web服务器请求的安全令牌(由IdP在用户登录web应用程序时提供)。
在我看来,没有必要为每个服务器请求验证安全令牌。SAML协议仅在必要的情况下(身份验证、授权)才需要令牌验证。
我是对的,还是我必须为每个web服务器请求实现令牌验证?
浏览 3提问于2014-06-23得票数 1
在用SAML实现ADFs登录的Spring安全性方面花了不少时间之后,我成了框架的粉丝。我能够将我的web应用程序与ADFS集成以进行登录。但我在这里遗漏了几个要求: 1)当我们在我的web应用程序登录页面上选择IDP ADFS登录url时,它将从我的web应用程序移到ADFS登录。这不是商业上的欲望行为。2)还面临这样的问题:在成功登录时,用户对象从ADFS发送回我的web应用程序,但在登录失败的情况下,它停留在带有登录错误消息的ADFS登录页面上。
有了这个要求,你可以指导我下面的要求。
1)我想使用我自己的登录页面(而不是ADFS登录重定向)来捕获用户名和密码2)将这些凭据传递到ADFS
浏览 2提问于2016-11-05得票数 1
2回答
重用SAML断言
、、
我正在用多个SPs实现单点登录。以下是我的基本理解:
1)浏览器(用户)向服务提供商(SP)请求资源。
2) SP将(带有SAML请求)重定向到身份提供者(IdP)。
3)由于它是第一次登录,用户会给(IdP)他/她的有效凭据。
4)然后IdP将浏览器(包含SAML令牌的SAML响应)重定向到SP页面。
现在假设我有服务提供者A和服务提供者B。一个用户已经完成了服务提供者A的步骤。从服务提供者A(在我的场景中是salesforce.com)开始,我已经编写了一个服务器端方法,它实例化了对服务提供者B上的端点的标注。在这种情况下,可以重复使用SAML断言吗?也就是说,服务提供者B会信任后端方法吗
浏览 3提问于2015-01-27得票数 2
我们使用带有OAuth2身份验证协议的WSO2 IS5.0作为我们的服务的身份验证协议。我们有外部服务想要通过发布SAMLResponse进行身份验证来访问我们的服务的要求。
这里的问题是,SAML是否具有可用于此单点登录的内置ACS,或者我们必须在我们的服务中添加ACS端点,并通过带有WSO2断言的/token端点进行身份验证?
浏览 10提问于2016-07-16得票数 0
我对SAML2.0单点注销有一个问题。
我有一个SAML2.0环境,它有一个IdP (标识提供者)和一个充当SP (服务提供者)的web应用程序。
作为用户,我在用户代理(浏览器)中启动web应用程序会话。使用IdP对用户进行身份验证。
在不同的浏览器(运行在同一台客户端机器上)中,我以同一个web应用程序中的同一个用户的身份启动另一个会话,即在相同的SP中启动SAML。
现在,我有两个独立的web应用程序会话,其中相同的用户是经过身份验证的。
然后,当我在其中一个浏览器中执行由IdP发起的单个注销时,IdP只发出一个注销请求,该请求终止在该浏览器中运行的会话。IdP发出的注销请求元素等于Id
浏览 2提问于2020-03-20得票数 0
在我对SP-init和IDP-init SSO的理解中,如下所示:
IDP-init SSO: IDP生成base64编码的saml响应并发送到SP,然后SP验证该响应,最后如果响应有效,则用户登录到应用程序。
SP-init SSO:从SP向IDP发送saml请求,然后IDP将对用户进行身份验证,然后发送回saml响应,下一部分与IDP-init SSO相同。
我们如何决定SSO是使用SP-init还是IDP-init?由于身份验证部分的存在,SP-init似乎比IDP-init SSO更安全可靠。
浏览 0提问于2015-03-26得票数 3
回答已采纳
1回答
对于我的内部应用程序,我需要使用WSO2标识服务器和SAML进行SSO。我偶然发现了一个美丽的
但是我对这篇文章有两个问题,我不知道它是如何工作的。
1)在第五步中说:“现在用户又被重定向到IDP,现在IDP意识到这个用户已经被认证了,因此它将发出SAML断言,而不会引发任何身份验证挑战。”
如何认识到用户已经通过了身份验证?
根据我的理解,这必须以会议为基础。这是否意味着当身份验证请求从服务提供者1转到标识服务器(SP1通过浏览器将请求重定向到IS )时,IS将首先对凭据进行身份验证,如果成功,则将用户对象保持在会话中。
现在,当第二个身份验证请求通过SP2发送到IS时,就会发送相同的会话I
浏览 2提问于2015-02-22得票数 2
回答已采纳
1回答
我有一个用例,其中web应用程序需要允许用户以两种不同的方式进行身份验证,但通过SAML使用相同的用户数据存储(也称为IDP)。
用户的浏览器被重定向到IDP,然后用SAML断言(也就是WebSSO概要文件)重定向回来。
用户通过基本身份验证向SP请求提供他们的凭据。然后,SP需要将用户的凭据发送到IDP,IDP将通过后台通道(服务器到服务器)提供断言。
我正在使用扩展。Spring中的示例应用程序包含具有用户名和密码的基本身份验证和基于SAML的身份验证,但是基本的Auth部分使用在securityContext.xml文件中定义的本地帐户。我需要使用IDP上的用户帐户。这个
浏览 1提问于2015-05-29得票数 2
回答已采纳
1回答
我尝试在WSO2上使用SAM2承载oAuth实现单点登录机制。
IDP user call WebAPP1WebAPP1 (SP)重定向IDP登录页面上的用户(OpenAM)WebAPP1 (SP)使用SAML2呼叫oAuth服务器(WSO2 IS或AM)以获取oAuth token
在这一步,SAML(或AM)会失败,并显示错误:“WSO2断言受众验证失败”。
我不明白为什么,因为我的SAML2中设置的发送到oAuth服务器的受众值与is或AM上的“受信任身份提供商”中定义的值相同
我不明白为什么..。请帮帮我!
尼古拉斯
浏览 1提问于2013-11-29得票数 0
1回答
目前,我有一个依赖于SAML身份提供者的SP。它还支持用户直接登录到SP。用户可以直接登录,或者用户可以从SP开始,并被重定向到SAML身份提供程序进行身份验证。
我计划将SP转换为使用OIDC和IdSrv4,而根本没有SP托管凭据。我仍然希望支持SAML提供者,但理想的情况是通过新的OIDC IdP。将这个新的OIDC IdP添加到SAML流中的正确方法是什么?我是否:
让SP和SAML进行通信,然后将SAML响应传递给IdP进行翻译(这似乎不正确,也不容易被滥用)
将SP重定向到OIDC IdP,并使用一些上下文来了解SAML。然后OIDC IdP处理SAML响应,并通过常规的OI
浏览 3提问于2019-10-24得票数 0
回答已采纳
1回答
弹簧saml SSO
、、、
我有一个使用spring安全和mvc框架开发的门户应用程序。此门户应用程序连接到IDP (使用Spring安全性和spring开发)进行身份验证。如果用户身份验证成功,用户将被导航到主页,其中为外部应用程序…提供多个链接。当用户单击应用程序链接时,用户应该在不挑战登录页面的情况下成功导航到相应的应用程序。
其他应用程序是使用struts和spring安全性开发的。如何确保在从门户单击链接时,saml令牌或上下文被传递给其他应用程序,这样它就不会请求登录。
任何帮助都是非常感谢的。
浏览 2提问于2017-06-02得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
