SAML

Question

В моем случае у меня есть следующие элементы архитектуры: - SAML обеспеченных порталы (Домен) - User - SAML Обеспеченный API (Domain B, так другой домен, чем портал) - МВА
Пользователь сначала войдет на портал, если не будет аутентифицирован, портал перенаправит его к поставщику удостоверений для входа в систему. После входа в IdP и, следовательно, на Портал Portal будет иметь маркер SAML, идентифицирующий пользователя.

Теперь этот портал необходимо будет автоматически вызвать API (присутствует в другом домене) и передать ему токен SAML, идентифицирующий пользователя. Проблема в том, что портал имеет только тот токен, который ему предоставлен, и, следовательно, мой вопрос:

Как я могу распространять личность пользователя через цепочку вызовов?

Например, можно ли использовать один и тот же токен между различными полагающимися сторонами? Если да, каковы ограничения, которые должен соблюдать выданный токен, чтобы убедиться, что он может «разделяться» разными объектами?

Большое спасибо заранее!

Answer 1

Одним из способов может быть то, что портал, а не вызов API напрямую, вместо этого должен перенаправить пользователя в API.

Таким образом, API найдет у пользователя недействительный сеанс, будет перенаправлен на IdP, где пользователь уже прошел аутентификацию. Затем IdP перенаправляет обратно в API с ответом SAML для API.

Все это будет прозрачным для пользователя, который просто увидит результат API.