SP发起的单点登录

Question

我正在设置一个使用Azure AD和IdP的单点登录解决方案，使用SAML2令牌身份验证。

我们的服务提供商既有内部应用程序，也有异地应用程序。虽然我了解这些环境中SSO的原理，但我需要清楚地了解SP发起的SSO。

当使用个人PC在家工作的最终用户厌倦通过URL访问异地应用程序时，SP如何识别或确定应将其浏览器重定向到哪个IdP以进行验证？

Answer 1

SP Initiated具有以下流程：

User --> application --> IDP --> authenticate -->使用令牌返回应用程序。

应用程序已针对IDP URL进行配置。

Answer 2

SP之前已配置(由管理员、开发人员等配置)关于IdP的信息。其中一条信息是“登录URL"，这是SP应将身份验证请求发送到的IdP URL。

IdP还将预先配置有关于SP的信息，例如，将IdP的认证响应发送到何处(也称为“断言”)，其中包含有关用户的信息。(这就是所谓的“断言消费者服务”)

Answer 3

在SP发起的流程中，SP不会将用户重定向到IdP，而是接受用户凭据并向IdP发出身份验证请求。

SP将根据其选择的实现在其代码或配置中设置IdP url。

您还可以在SP和IdP之间交换元数据文件。元数据文件只是一个XML文件，它告诉您基本的组织、poc和URL信息。因此，您可以要求您的IdP识别SP的SP元数据，而当断言到达那里时，SP可以要求您的IdP元数据来识别您。

这个站点很好地理解了元数据的外观：https://www.samltool.com/online_tools.php