SSO-SAML從服務供應商登錄到IDP

Question

SP是一個應用程序，它有自己的身份驗證機制和本地身份， 用戶可以直接登錄。

有一種方法SP可以通知IDP關於登錄的用戶，以便其他SP從IDP（銷售人員）

[SP1（U1登錄使用SP1數據庫）]登錄 - > [IDP（U1 ）]

[SP2] ---登錄REQ - > [IDP（U1）] - > [SP2（U1）]

問題是SP1已經設置的用戶中的哪一個不IDP和其他的部分SP

SP =服務提供商

IDP =身份提供商

Answer 1

在SAML協議中不可能。 SP的本地身份不能跨越IdP或其他SP進行聯盟。

爲了聯合身份，IdP必須從SP接收AuthnRequest（在SP-Init SSO的情況下），在IdP進行身份驗證並向SP發送斷言。因此，IdP只能聯合SP中的身份。