Итак, моя система SAML2 SP. Мы протестировали его на SSOCircle (общедоступная тестовая жгутовая прокладка saml idp), и он работает.Может ли частный IdP сделать запрос SSO публичному SP
Теперь мы пытаемся настроить его с помощью клиента (который является IdP). Мой вопрос в том, что если мы выполняем ИОП Инициированный SSO - нужно ли IdP быть видимым для SP? (idp недоступен через Интернет). Или это не имеет значения, если IdP может отправлять сообщения в SP? (SP общедоступен).
Мое предположение - это не так. Верный?
IdP и SP должны установить доверие друг к другу, чтобы они могли говорить. Если кто-то невидим для другого, тогда общения не будет. Другая сторона просто отвергает SAMLRequest или SAMLResponse, так как не знает, кто отправляет запрос/ответ. Можете ли вы объяснить немного больше о вашем случае использования? – Zeigeist
IdP отправляет ответ SAMLResponse на наш ACS. Это IdP-inititaed SSO, поэтому здесь всего 1 путь трафика (IdP -> SP). IdP может видеть SP, но не наоборот. Проблема, которую мы получаем, связана с nostate (мы SP и используем simplesaml). Мы получаем ответ saml, хотя SAML Tracer показывает нам это. –