제 시스템이 SAML2 SP입니다. 우리는 SSOCircle (공용 saml idp 테스트 장치)에서 테스트했으며 작동합니다.개인 IdP가 공개 SP에 대한 SSO 요청을 할 수 있습니까?
이제 우리는 고객 (IdP)과 함께 설정하려고합니다. 내 질문은, 우리가 IdP Initiated SSO를하고 있다면 - IdP가 SP에 보이도록해야합니까? (idp는 웹을 통해 액세스 할 수 없습니다.) 또는 IdP가 SP에 게시 할 수있는 한 중요하지 않습니까? (SP는 공개됩니다.)
내 가정은 맞지 않습니다. 옳은?
정말 바인딩에 따라 다릅니다. POST 바인딩을 사용하고 있다면 실제로 IDP와 SP 간의 모든 통신은 브라우저를 통해 이루어 지므로 IDP와 SP는 직접 통신 할 필요가 없습니다.
SP가 IDP에서 토큰을 가져와야하는 Artifact 바인딩에서는 그렇지 않습니다.
예 - HTTP Post입니다. 우리는이 통합을 시도 할 때 기본적으로 오류가 발생합니다. 우리 (SP)는 ACS 서비스에 대한 SAML 응답을 받고 있으므로 어디서 잘못되었는지 이해하지 못합니다. –
오류 메시지가 확실하지 않지만 "상태 없음"오류는 SP가 SP 시작 흐름에서만 응답을 기다리고 있음을 의미 할 수 있습니다. SP 시작 흐름에서 SP는 응답과 함께 전송 된 RelayState 매개 변수를 필요로합니다. 이 매개 변수는 IDP 시작 흐름에서 전송되지 않습니다. –
IdP와 SP는 말하기 위해 서로 신뢰해야합니다. 하나가 다른 사람에게 보이지 않는다면 어떤 대화도 없을 것입니다. 다른 사람은 SAMLRequest 또는 SAMLResponse를 거부합니다. 누가 요청/응답을 보내고 있는지 알지 못하기 때문입니다. 유스 케이스에 대해 좀 더 설명 할 수 있습니까? – Zeigeist
IdP가 SAMLResponse를 ACS로 보냅니다. IdP-inititaed SSO이기 때문에 여기에는 단 1 개의 트래픽 만 있습니다 (IdP -> SP). IdP는 SP를 볼 수는 있지만 다른 방향으로는 볼 수 없습니다. 우리가 얻고있는 문제는 nostate (우리는 SP이고 simplesaml 사용)입니다. 우리는 saml 응답을받습니다 - SAML Tracer가 우리에게 이것을 보여줍니다. –