Я новичок в мире SAML-2. Я должен реализовать SAML-2 для нашего веб-продукта с помощью java. Мой коллега предложил следующее решение для внедрения SAML-2.Нужно ли использовать cookie для входа в систему SAML2?
Я просто хотел, чтобы обсудить ли смысл ...
Сценарий: Джон записывает в первый раз, так как SSO был реализован в его компании
- Джон указывает свой браузер на TMS
- TMS не находит маркер SAML хранится в виде печенья в заголовке запроса от браузера Джона
- браузер Джона перенаправляется на стандартный TMS странице входа
- Джон вводит его нормальные окна регистрационных данные и хиты ENTER
- TMS успешно проверяют подлинность своих полномочий против IdP сервера своей компании, которая в данном случае является ADFS с помощью SAML
- Маркер SAML возвращается в TMS и сохранен в браузере Джона как печенье
- Джон теперь может использовать TMS
Сценарий B: Джон хочет снова использовать TMS, но закрыл броузер
- Джон открывает новый instanc е и указывает его TMS
- TMS находит маркер SAML хранится в виде печенья в заголовке запроса от браузера Джона
- TMS проверяет, что этот маркер является действительным, и поэтому Джон идет прямо в TMS минуя страницу входа
Мой вопрос - это стандартный или правильный подход? Если мы используем cookie для запоминания маркера SAML, что делать, если пользователь очищает файл cookie или не хочет сохранять cookie? В этом случае пользователь будет направляться на страницу входа каждый раз ...
Есть ли какой-либо ресурс (то есть книжный или онлайн-учебник), который я могу изучить в этой конкретной цели?
Пожалуйста, дайте мне знать ваше предложение.