Я обновляю пользовательское приложение портала, которое обеспечивает централизованную аутентификацию для ряда приложений. Я хочу улучшить портал для поддержки как SAML, так и OAuth2, предоставляя пользователю хороший пользовательский интерфейс.Single Signon между поставщиками услуг
В SAML говорить у меня есть (но не в настоящее время используют SAML):
/--------\
| Portal |
| IdP |
\--------/
|
|-------------\
v v
/------\ /------\
| App1 | | App2 |
| SP | | SP |
\------/ \------/
Все запросы на App1 и App2 получить направлены на портал аутентификации. После их аутентификации они отправляются на целевую страницу портала. Правильно - портал. Не приложение.
Я смотрю на изменение выше, чтобы:
/--------\
| OpenAM |
| IdP |
\--------/
|
|-------------\---------------\
v v v
/------\ /------\ /------\
|Portal| | App1 | | App2 |
| SP | | SP | | SP |
\------/ \------/ \------/
Цель в том, что я хочу, чтобы разъединить портал от аутентификации. Я хочу использовать OpenAM для этого и превратить Portal в SP вместо IdP. Я также смотрю на создание инициированного SP SSO, которое вернет пользователя обратно в SP после завершения проверки подлинности.
Так что это мой план. : D
Мой вопрос: если пользователь нажимает ссылку на Portal (SP) на App1 или App2 (также SP), то могу ли я направить их туда, не требуя, чтобы они снова вошли в систему? Я только когда-либо сталкивался с SP-окончанием SSO раньше, и IdP-end для меня новичок. Можно ли это сделать (надеюсь) как SAML, так и OAuth2? И если у вас есть какие-либо советы по снятию этого?
Примечание: Пользователь вошел в систему IdP для доступа к порталу в приведенном выше сценарии.
Спасибо!
В приведенном выше случае, когда пользователь нажимает на ссылку на портале. Пользователь уже аутентифицировался с помощью IDP при первом доступе к порталу? –
@StefanRasmusson - да. Я надеюсь, что это простой ответ. :) Отредактировано, чтобы указать это. – Rontologist