SAML2.0 IsPassive选项

Question

在使用基于ApacheTomcatSAML2.0的单点登录(SSO)时，我在SAML2.0身份验证请求下遇到了名为“IsPassive”的属性。SAML2.0规范如下所示：

IsPassive可选布尔值。如果为"true"，则身份提供程序和用户代理本身不得明显地从请求者手中控制用户界面，并以明显的方式与演示者交互。如果未提供值，则默认值为"false“。

在单点登录的情况下，这个定义最准确的含义或例子是什么？此属性是否与单点登录中的主动和被动配置文件相关联？

Answer 1

首先，这与主动或被动SSO无关。通常，“主动”指的是基于Web服务的SSO (我通常认为这是桌面客户端应用程序)，而“被动”则更典型地指基于浏览器的SSO。

其次，通过发送IsPassive=True，SP实际上是告诉IDP，“只有在不涉及用户的情况下才能验证这个用户”。我认为Web最常见的方法可能是Kerberos (集成Windows )或x509。或者，如果IDP已经对用户进行了身份验证，并且该用户有一个可用于给定SP AuthnRequest的有效会话，那么这就符合IsPassive=true需求IIRC。