如何进行基于SAML的跨域认证/信任

Question

我有一个由内部ASP.NET/MVC网站组成的产品，所有使用WIF通过自定义的STS/IdP服务启用SSO。我们现在有一个新的合作伙伴网站在我们的网络外托管在另一个域上，并希望为用户启用SSO，因为他们在网站之间导航。新站点使用不同的技术(例如python)，但我们假设可以使用SAML标准作为协议来创建信任关系。

使用SAML作为底层协议，我们认为这是可以实现的，但我们找不到任何关于实现模式的指导，最佳实践指导，等等。关于如何建立这种类型的跨域信任，一些人可以推荐一些资源吗？

注意:虽然像OAuth这样的其他选项可以解决这个问题，但我们更倾向于坚持使用基于SAML语言的解决方案

Answer 1

您的自定义STS/IdP服务是否支持SAML？

在python方面，他们将需要一个SAML堆栈。这里有一个数字-- refer Introduction to OneLogin's SAML Toolkits，例如，还有一个很好的图表，显示了登录流。

然后，您需要获取python SAML元数据，并将您的自定义STS/IdP SAML元数据提供给它们。

在两端导入，配置您需要的任何断言，您就可以开始工作了。

您还需要整理进入元数据的签名证书。

使用simpleSAMLPHP - Configuring the SP的流程示例

Answer 2

下面提供了一个很好的SAML实现示例：http://www.codeproject.com/Articles/56640/Performing-a-SAML-Post-with-C

我们在我们的项目中使用了它，它工作得很好。