用於多個Web應用程序的單個SAML SP

Question

我能夠使用Spring Saml Extension在java web應用程序（不是在Spring中）使用ADFS實現單點登錄。我剛剛通過this post。它說：

對於間接選項 ...部署SAML SP作爲 您的容器（例如SAML春季或OpenAM）另一個應用程序，並使其傳達 與您的應用程序 - 這樣SAML SP與ADFS進行身份驗證 並將其傳達給您的應用程序，例如通過共享的 cookie或自定義令牌

我們需要做什麼準確？據我所知，這是基於瀏覽器的SSO，每個Web應用程序需要使用Spring saml插件與ADFS進行交互。如果我錯了，請糾正我。我們如何將SAML令牌從一個SP傳遞給多個應用程序？

Answer 1

上述帖子實際上將基於標準的WebSSO（SAML）與專有的WebSSO（例如OpenAM）混合在一起。沒有SAML斷言傳遞給其他WebApp，但WebSSO的實現方式不同。在OpenAM的情況下，這是通過SSO跟蹤cookie實現的。如果使用SAML，只有每個應用程序必須充當SAML SP（例如，使用基於Java的webapps的Spring Security SAML擴展或基於PHP的webapps的simpleSAMLPHP來實現）。

另外，您可以部署所有的HTTP背後的其他應用程序反向代理，其中反向代理充當SAML SP（例如OpenIG）