SAML证书认证与登录

Question

我在企业架构中有一个SAML (OneLogin)的工作实现。

当来宾用户到达我的应用程序时，他们被重定向到公司登录，在那里输入用户名/密码。在此之后，用户标识将被传递回我的应用程序，并将它们登录。

然而，我注意到，在公司内的其他应用程序中，我根本不需要登录。不知何故，网站“知道我是谁”，似乎是自动认证我。我猜想我的pc /浏览器上有某种形式的证书，其他应用程序正在传递给SAML？

有人能告诉我技术术语或流程吗？是否有一个进程，我只是从浏览器或PC中提取证书并将其传递给SAML？我希望我的用户能够自动登录而无需输入他们的凭据。

谢谢

Answer 1

经过大量的研究和测试，我终于得到了这个问题的答案，这是难以置信的简单！

总之:我有一个使用OneLogin的工作解决方案，它将我发送到这样一个页面：

https://sts.companyname.com/adfs/ls

url在config中指定: saml->config->idp->singleSignOnService->url

然而，这个页面要求用户输入他们的用户名和密码，相反，我希望系统是完全无缝的。

事实证明，解决方案只是超链接到以下url：

https://sts.companyname.com/adfs/ls/IdpInitiatedSignon.aspx?LoginToRp=https://mypage.com/saml/metadata

其中"loginToRp“url是saml->config->sp->实体is中提供的url。

ADFS IDP启动的登录将连接到您的元数据模式，并自动登录用户(用户不需要提供任何凭据)

注:这只适用于企业环境中的intranet站点。

Answer 2

有许多支持“自动”身份验证的机制，如您所描述的。在身份和访问管理(IAM)领域，我们有各种各样的名称，但我们中的许多人称之为“无缝单点登录(SSO)”。

在企业环境中，我怀疑您正在处理两种机制中的一种: Kerberos身份验证(特别是如果您是Microsoft商店并每天登录到已加入域的计算机)，或者您的计算机处于MDM类型的系统中，该系统使用基于机器和/或基于用户的证书(又名PKI)来验证用户或用户/机器组合。

在您的企业中，如果有其他应用程序的用户在没有输入用户名和密码的情况下立即对应用程序进行身份验证，那么您应该与您的IAM团队或您的单点登录(SSO)管理员联系，以了解为什么对您的应用程序不起作用。

我还会说，您的安全团队有可能评估您的应用程序提供的信息(内部财务信息)？源代码？你的秘方？信用卡资料？)并决定仍然是，需要用户输入用户名和密码才能访问数据。因此，当你到你的SSO管理员那里询问，如果他们说这是有意的，你应该自由地问为什么和谁应该谈论它。