После прочтения нескольких статей о SAML, в том числе «SAML для чайников» и статьи Wiki SAML, я все еще не совсем понимаю, как SAML фактически решает проблему SSO. Предположим, я беру что-то вроде учетной записи Google в качестве примера. Я понимаю, что если я перейду на GMail и SAML, я буду перенаправлен на IDP, который, скажем, является авторитетом входа в Google. Мой браузер затем отправляется туда с перенаправлением, и меня просят войти в систему. После предоставления правильной информации для входа я возвращаюсь к GMail с ответным сигналом и SAML, зашифрованным с помощью закрытого ключа входа в систему Google, который затем аутентифицируется с использованием GMail's открытый ключ, таким образом, подтверждая, что я, по сути, я говорю.Как SAML решает SSO?
Что меня пугает, так это то, что это, похоже, решает проблему подписания в первый раз или в одно приложение, но я не понимаю, что происходит, когда я перехожу на Google Диск. Даже если мой браузер сохраняет токен/ответ SAML в качестве файла cookie, мне нужно будет снова войти в него после истечения срока действия токена, который, как я прочитал, - это что-то вроде 2 минут спустя. Более того, даже в том же приложении запросы на разделение ресурсов или конечных точек кажутся похожими на то, что они будут тайм-аутом одинаково.
Единственный намек, который у меня есть, заключается в том, что согласно статье wiki, шаг 1 имеет целевой ресурс на проверке SP для «действительного контекста безопасности». Однако, если GMail и Drive являются отдельными приложениями, которые не взаимодействуют друг с другом, как бы Диск знал, что у меня уже есть действующий контекст безопасности?
Вопросы:
- После начальной аутентификации, какая информация должна быть отправлена с будущими запросами к той же или другой прикладной/конечной точки? Например, возможно, утверждение SAML сохранено и resent с каждым запросом.
- Как эта информация защищена/проверена?
- Какие тайм-ауты связаны с SSO SAML и как применяются таймауты на обеих сторонах SP и IDP?
Итак, чтобы быть ясным, мой браузер содержит файл cookie для домена IDP, так что всякий раз, когда я обращаюсь к дополнительным приложениям, зарегистрированным с тем же IDP, я легко перенаправляюсь в домен IDP, мгновенно аутентифицируется из-за cookie и отбрасывается обратно на страницу, которую я просил, не заметив меня? – Teofrostus
@Teofrostus Да, это правильно. –