web-dev-qa-db-fra.com

Différences entre l'authentification unique initiée par SP et l'authentification unique initiée par IDP

Quelqu'un peut-il m'expliquer quelles sont les principales différences entre SSO initié par le SP et SSO initié par le IDP, y compris quelle serait la meilleure solution pour mettre en œuvre l'authentification unique en conjonction avec ADFS + Fédération OpenAM?

single-sign-onadfs2.0openam
96
pbhle

Dans SSO Init IDP (SSO Web non sollicité), le processus de fédération est lancé par le fournisseur IDP qui envoie une réponse SAML non sollicitée au SP. Dans SP-Init, le SP génère un AuthnRequest qui est envoyé à l'IDP en tant que première étape du processus de fédération et l'IDP répond ensuite par une réponse SAML. La prise en charge de IMHO ADFSv2 pour SAML2.0 Web SSO SP-Init est plus puissante que sa prise en charge IDP-Init concernant l'intégration avec les produits tiers (principalement autour de la prise en charge de RelayState). Par conséquent, si vous avez le choix, vous voudrez Initialement, cela simplifiera probablement la vie avec ADFSv2.

Voici quelques descriptions simples de l'authentification unique du Guide de démarrage de PingFederate 8.0 que vous pouvez consulter et qui peuvent également vous aider - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task /idpInitiatedSsoPOST.html

67
Ian

SSO initié par IDP

Dans la documentation PingFederate: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

Dans ce scénario, un utilisateur est connecté au fournisseur d'identité et tente d'accéder à une ressource sur un serveur SP distant. L'assertion SAML est transportée vers le SP via HTTP POST.

Étapes de traitement:

  1. Un utilisateur s'est connecté au fournisseur d'identité.
  2. L'utilisateur demande l'accès à une ressource protégée SP. L'utilisateur n'est pas connecté au site SP.
  3. Eventuellement, le fournisseur d'identité récupère les attributs du magasin de données de l'utilisateur.
  4. Le service d'authentification unique du fournisseur d'identité renvoie un formulaire HTML au navigateur avec une réponse SAML contenant l'assertion d'authentification et tous les attributs supplémentaires. Le navigateur publie automatiquement le formulaire HTML sur le SP.

SSO initiée par le SP

De la documentation PingFederate: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

Dans ce scénario, un utilisateur tente d'accéder à une ressource protégée directement sur un site Web SP sans être connecté. L'utilisateur n'a pas de compte sur le site SP, mais dispose d'un compte fédéré géré par un fournisseur d'identité tiers. Le SP envoie une demande d'authentification à l'IdP. La demande et l'assertion SAML renvoyée sont envoyées via le navigateur de l'utilisateur via HTTP POST.

Étapes de traitement:

  1. L'utilisateur demande l'accès à une ressource protégée SP. La demande est redirigée vers le serveur de fédération pour gérer l'authentification.
  2. Le serveur de fédération renvoie un formulaire HTML au navigateur avec une demande d'authentification SAML auprès du fournisseur d'identité. Le formulaire HTML est automatiquement publié sur le service SSO du IdP.
  3. Si l'utilisateur n'est pas déjà connecté au site du fournisseur d'identité ou si une nouvelle authentification est requise, le fournisseur d'identité demande des informations d'identification (par exemple, un identifiant et un mot de passe) et l'utilisateur se connecte.

  4. Des informations supplémentaires sur l'utilisateur peuvent être extraites du magasin de données utilisateur pour être incluses dans la réponse SAML. (Ces attributs sont prédéterminés dans le cadre de l'accord de fédération entre le fournisseur d'identité et le fournisseur de services)

  5. Le service d'authentification unique du fournisseur d'identité renvoie un formulaire HTML au navigateur avec une réponse SAML contenant l'assertion d'authentification et tous les attributs supplémentaires. Le navigateur publie automatiquement le formulaire HTML sur le SP. REMARQUE: Les spécifications SAML exigent que les réponses de POST soient signées numériquement.

  6. (Non affiché) Si la signature et l'assertion sont valides, le SP établit une session pour l'utilisateur et redirige le navigateur vers la ressource cible.

74
user3061250

SSO initié par le SP

Facturez l'utilisateur: "Hey Jimmy, montre-moi ce rapport"

Jimmy the SP: "Hé, je ne suis pas encore sûr de qui vous êtes. Nous avons un processus ici, donc vous allez d'abord vous faire vérifier auprès de Bob le fournisseur d'identité. Je lui fais confiance."

Bob l'IdP: "Je vois que Jimmy vous a envoyé ici. Donnez-moi vos informations d'identification, s'il vous plaît."

Bill l'utilisateur: "Bonjour, je suis Bill. Voici mes références."

Bob l'IdP: "Salut Bill. On dirait que tu vérifies."

Bob l'IdP: "Hey Jimmy. Ce gars que Bill vérifie et voici quelques informations supplémentaires à son sujet. Vous faites ce que vous voulez à partir d'ici."

Jimmy the SP: "Ok, cool. On dirait que Bill est aussi sur notre liste d'invités connus. Je vais laisser Bill entrer."

SSO initié par un fournisseur d'identité

Bill l'utilisateur: "Hey Bob. Je veux aller chez Jimmy. La sécurité est étroite là-bas."

Bob l'IdP: "Hey Jimmy. Je fais confiance à Bill. Il vérifie et voici quelques informations supplémentaires à son sujet. Vous faites ce que vous voulez à partir d'ici."

Jimmy the SP: "Ok, cool. On dirait que Bill est aussi sur notre liste d'invités connus. Je vais laisser Bill entrer."

25
2upmedia