У меня есть рабочий процесс приложения, как этотSAML и фоновая аутентификация REST службы
(A) User-Agent (браузер) < -----> (B) App сервер < ------ > (C) Служба REST
Предположим, что сервер приложений (B) является поставщиком услуг SAML, а пользовательский домен домена аутентифицируется из браузера (A) на сервер приложений (B) с использованием профиля SSO веб-браузера.
Как приложение, выполняющееся на (B), аутентифицируется службе REST (C) как [email protected]? (Предполагая, что B и C оба являются SAML SP на одном и том же IdP.)
Если браузер только что вызывал AJAX-вызовы как для B, так и для C, это было бы просто. Но если служба REST вызывается непосредственно из приложения, что вы делаете?
Что я борюсь с: Если само приложение не SAML SP, но интегрированного с одной (скажем, с помощью Шибболета SP и заголовок REMOTE_USER) приложение может никогда не увидеть SAML утверждения. Вы знаете, что пользователь вошел в систему и прошел аутентификацию против IdP, но не имеет возможности получить утверждение SAML для передачи на бэкэнд-сервис.
Есть ли решение или мне невезение?
Я не думаю, что можно утверждать одно и то же утверждение SAML против одного IdP дважды –
Почему бы и нет? Как только вы получили утверждение, вы никогда не свяжетесь с Idp для проверки. Процедура проверки полностью выполняется с помощью SP, путем проверки криптографической подписи и идентификаторов: s ответа и утверждения. –
поэтому _ Если у вас есть доступ к исходному утверждению, которое вы можете перенаправить на C_, это означает, что это утверждение отправлено на C без проверки на B? –