uchen Sie nach Feedback zu einer ersten SAML-Implementierun
Ich wurde beauftragt, einen sehr einfachen SSO-Prozess (Single Sign-On) zu entwerfen. Mein Arbeitgeber hat angegeben, dass es in SAML implementiert werden soll. Ich möchte Nachrichten erstellen, die so einfach wie möglich sind, während ich die SAML-Spezifikation bestätige.
Ich wäre Ihnen sehr dankbar, wenn einige von Ihnen meine Anfrage- und Antwortnachrichten lesen und mir mitteilen würden, ob sie für meinen Zweck sinnvoll sind, wenn sie does muss da sein, und wenn ihnen etwas fehlt, dass does muss da sein.
Zusätzlich würde ich gerne wissen, wo ich in der Antwort zusätzliche Informationen zum Thema einfügen sollte. insbesondere die E-Mail-Adresse des Betreffs.
Die Interaktion muss wie folgt funktionieren:
Benutzer fordert an dieser Stelle einen Dienst vom Diensteanbieter an. Der Diensteanbieter weiß nichts über den Benutzer.Dienstanbieter fordert Authentifizierung für Benutzer vom Identitätsanbieter anBenutzer wird vom Identitätsanbieter authentifiziert / registriertIdentity-Anbieter antwortet dem Service-Anbieter mit der Meldung "Authentifizierung erfolgreich" und der E-Mail-Adresse des PLUS-Benutzers.Hier ist, was ich denke, die Anfrage sollte sein:
<?xml version="1.0" encoding="UTF-8"?>
<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
ID="abc"
IssueInstant="1970-01-01T00:00:00.000Z"
Version="2.0"
AssertionConsumerServiceURL="http://www.IdentityProvider.com/loginPage">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
http://www.serviceprovider.com
</saml:Issuer>
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">3f7b3dcf-1674-4ecd-92c8-1544f346baf8</saml:NameID>
</saml:Subject>
Hier ist, was ich denke, die Antwort sollte sein:
<?xml version="1.0" encoding="UTF-8"?>
<samlp:Response xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" Destination="http://www.serviceprovider.com/desitnationURL" ID="123" IssueInstant="2008-11-21T17:13:42.872Z" Version="2.0">
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
</samlp:Status>
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0">
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient">3f7b3dcf-1674-4ecd-92c8-1544f346baf8</saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser">
<saml:SubjectConfirmationData InResponseTo="abc"/>
</saml:SubjectConfirmation>
</saml:Subject>
<saml:AuthnStatement AuthnInstant="2008-11-21T17:13:42.899Z">
<saml:AuthnContext>
<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion>
</samlp:Response>
Also, nochmal, meine Fragen sind:
Ist das eine gültige SAML-Interaktion?
Kann entweder das Anforderungs- oder das Antwort-XML vereinfacht werden?
Wo soll ich in der Antwort die E-Mail-Adresse des Betreffs angeben?
Ich schätze deine Hilfe sehr. Vielen Dank
-Morgan