Поставщик услуг SAML как поставщик удостоверений для другой службы?

Question

Вот сценарий.

1. Service Provider ABC.com is configured to accept credentials from IDP MNO.com. 
2. Service Provider is also configured as an Identity Provider for XYZ.com. 
3. User requests resource from ABC.com, is authenticated successfully against MNO.com. 
4. Now the user wants a resource from XYZ.com. 

XYZ спросит ABC, если пользователь аутентифицирован. Пользователь аутентифицирован первоначально на MNO.com. MNO.com и XYZ.com не знают друг о друге. Удостоверения подлинности, прошедшие аутентификацию с MNO.com, перешли на XYZ.com? Другими словами, будет ли ABC.com проверять подлинность пользователя и будет ли он передавать эти учетные данные с MNO.com на XYZ.com?

Если нет, есть ли способ достичь этого, или же оригинальный IdP (MNO.com) должен также обслуживать XYZ.com?

Короче:

Identity Provider: MNO.com trusts SP: ABC.com 
SP: ABC.com also configured as IDP to XYZ.com 
SP: XYZ.com does not know about IDP: MNO.com 

ли учетные данные с MNO.com прибудете передаются xyz.com только потому, что ABC.com является как SP и идентичность поставщика?

Благодаря

Answer 1

В идеале будет один поставщик Идентичность (MNO.com) в вашем случае. Все связанные с ними поставщики услуг должны быть настроены внутри IDP. У вас есть два SP "abc.com" и "xyz.com", которые должны быть настроены с помощью MNO.com, однако abc.com и xyz.com не обязаны знать друг друга.

Usecase: если пользователь пытается войти в систему xyz.com, который защищен IDP MNO.com, то MNO.com будет запрашивать учетные данные, если ранее не был зарегистрирован. Теперь пользователь сможет получить доступ к xyz.com, и он хочет получить доступ к abc.com, тогда запрос отправится в IDP для аутентификации и получит успешную аутентификацию из-за предыдущего сеанса, созданного xyz.com. Таким образом, пользователь сможет снова получить доступ к abc.com без логина.

Сообщите мне, если у вас есть какие-либо сомнения.