单点登录中的依赖项

Question

到目前为止，我所知道的是，要启用任何应用程序SSO，必须有身份提供者参与SSO游戏。因此，直接依赖于IDP，因为SP需要“知道”是谁。SP是否有一个通用的saml通信机制，可以与我的客户正在使用的任何IDP一起工作？或者我需要基于客户支持的IDP构建不同的saml通信器？

原因:我们公司的一位客户正在为其员工使用Okta，希望我们启用我们的应用程序Okta，这样它的员工就不必再记住我们站点上的凭据了。这很好。现在，如果有其他客户提供其他IDP (例如PingOne)，我们是否需要再次工作才能启用xyz？或者我们现有的实现将通过仅仅增加国内流离失所者url而以同样的方式工作？让我知道，如果我错过了任何大的图片或关键的概念在这里。我们的应用是在.NET平台上进行的。

Answer 1

不幸的是，如果用户希望使用新的IDP，则需要创建一个新的关联。这是有充分理由的。你得说你信任国内流离失所者。国内流离失所者是保证用户是他们所说的人的人。因此，您必须确保您信任它来为您的系统验证用户。

您可以做的是允许客户定义要使用的IDP，前提是只允许IDP验证客户用户。如果您想这样做，我建议您使用一些第三方软件。