我正在嘗試實施一個saml服務提供商,但我不確定要使用單個SP覆蓋的系統級別。SSO SAML SP - 在一個SP下可以覆蓋多少個網站?
每個SP的架構級別被認爲是好的做法?我們是否應該爲整個部門,每個服務器,每個域,每個應用程序池甚至每個站點都有一個?
我們的組織有一個shibboleth IDP,我使用的是kentor authservices。它爲一個站點工作,但sp是該站點的一部分。 假設最佳實踐不是每個站點一個,如果任何人有一個提示如何最好地處理,使其更通用(即多個站點一個entityid),將不勝感激。
不知何故,你需要獲得登錄信息到每個網站/應用程序。您可以使用每個站點的SP(這是Kentor.AuthServices方法),也可以在Web應用程序前設置Shibboleth SP代理。後者意味着你必須向每個站點添加代碼來解析Shibboleth提供的http頭文件。我不喜歡那種方式 - 這就是爲什麼我開始了Kentor.AuthServices項目。
所以,我的首選是通過一個儘可能原生的模塊,使每個網站成爲一個適當的SP,爲Web應用程序框架。可能相關的模塊是Kentor.AuthServices(.NET),SimpleSamlPhp,Spring(Java),saml2-js(節點)。
如果組織有多個站點/應用程序要與多個上游身份提供商聯合,您將獲得NxM配置對,這是不可擴展的。在這種情況下,選項是將作爲Idp的SAML2 代理插入到您的內部應用程序中,並作爲SP插入到外部Idps。只需在代理中配置新站點/應用程序,只需在代理中配置新的外部Idps。