使用SSO和Shibboleth 2.0的一般問題 - 從IdP傳遞屬性到SP

Question

我一直在閱讀使用Shibboleth 2.0作爲單點登錄技術。我遇到的一個困惑是，身份提供商（IdP）是否可以向服務提供商（SP）發送一個電子郵件屬性，該屬性可以向Web應用程序確切地向誰顯示登錄。

例如，如果用戶Joe被指示通過電子郵件joe@acme.com在IdP上註冊（創建用戶/密碼等），並且我的應用程序可以唯一標識joe@acme.com，然後IdP的身份驗證響應是否可以指示爲1） ，這個人就是他說的那個人，以及2）他的電子郵件是joe@acme.com。

在Shibboleth聯盟中，似乎SSO的主要優勢在於，應用程序不需要知道關於Joe在IdP選擇的特定用戶名和密碼的所有內容。真的嗎？如果是這樣，這是一個很好的設計，或者，制定這樣的系統有哪些風險和考慮。

如果這是而不是一個好的設計，什麼是常見的選擇？

在我的應用程序中，我支持SSL，並且我所有的人員電子郵件都是已知且唯一的。謝謝。

Answer 1

是的，身份驗證的一部分是確定誰剛剛登錄。Shibboleth確實提供了將此作爲SAML響應的一部分進行通信的機制。

請參閱https://spaces.internet2.edu/display/SHIB2/FlowsAndConfig#FlowsAndConfig-4.IdPIssuesResponsetoSP瞭解對話的這一部分的一般描述。 IdP發回一個「斷言」，其中包含有關你想要的人的所有屬性。 Shibboleth只能將屬性發送給特定的SP - 請參閱https://spaces.internet2.edu/display/SHIB2/IdPAddAttributeFilter。