是否存在IDP -> to IDP ->身份验证？(SAML2)

Question

是否有IDP到IDP身份验证的想法？

我工作的地方有这样的设置：

客户端IDP <->工作SP

--客户端通过其门户进行身份验证

--客户端导航到我们的站点，因为我们设置为sp，然后他们通过saml2对我们的站点进行身份验证

他们想要什么

客户端IDP <->工作SP

工作IDP <-> VendorSP

--客户端通过其门户进行身份验证

--客户端导航到我们的站点，因为我们设置为sp，然后他们通过saml2对我们的站点进行身份验证

--客户端通过out站点导航到供应商，并通过工作IDP进行身份验证。

如果每件事都通过一个IDP，这将是很容易的。

我被要求做的事情有可能实现吗？我从来没有听说过IPD到IDP的通信。这就像用你的苹果账号登录谷歌一样。

如果任何人有一些见解或建议，我将不胜感激！

Answer 1

据我所知，每个流行的SAML工具，无论是商业的还是其他的，通常都可以充当服务提供者和身份提供者。有些工具本身就可以充当联邦的“中枢”。该模型使用您提供的“名称”如下所示：

Client IdP --> SP|Work|IdP --> Vendor SP

支持集线器概念的产品的“特殊之处”在于，与完成客户端IdP到工作SP事务的产品相比，该产品通过其自身的另一个断言来管理身份属性的转发，将其交给某个外部机制，该外部机制转过身并启动从工作IdP到供应商SP的新联盟，结果如下所示：

Client IdP --> Work SP --> user service --> Work IdP --> Vendor SP

提供集线器模型的产品通常可以支持供应商SP发起的事务，这些事务一直到达客户端IdP，而无需任何用户交互，只在工作集线器处发生重定向。我所看到的“用户服务”模型的构建方式是使用dock或门户，在那里用户单击某物来启动第二个事务。

这就是说..。只要你有一个“通用的”SAML产品，你当然可以达到你想要的最终状态，但是你可以使用的模型取决于你拥有的工具。

Answer 2

这实际上是很常见的。

技术术语是R-STS。

符号“(Server- STS /R-STS)”指示IDP是否可以充当IDP本身(即客户端可以使用它进行身份验证)，以及IDP是否可以作为通往最终IDP的路径上的中间步骤。

许多IDP可以同时是，例如ADFS既可以是SP，也可以是CP (索赔提供商)。

所以如果你有：

应用--> IDP1 --> IDP2

那么IDP1就是应用程序的CP和IDP2的SP。

它是如何正常工作的，例如

• 应用程序--> IDP1
• IDP1显示主领域发现屏幕
• 用户选择IDP2
• 用户在IDP2

上进行身份验证

• SAML令牌返回到应用程序下游