如何創建SSO服務提供商？

Question

我是新來的單一登錄的概念。我們已經有一個管理其用戶的Java Web應用程序。現在的要求是，身份驗證將由客戶端的SSO Idp（使用SAML）提供，然後請求將被轉發到我們的應用程序。由於我之前沒有執行過這樣的任何操作，因此我需要澄清以下查詢以進一步處理：

1. 如何在SSO IdP驗證後檢查請求？
2. 如何管理會話？因爲會話將在客戶端創建。
3. 如果他們登錄註冊，最好是留在我們的應用程序或重定向到他們的應用程序，用戶訪問我們的應用程序？

在客戶端有一個內部應用程序，其中包含許多使用相同SSO IdP的應用程序的鏈接。用戶無法直接訪問互聯網。

任何教程或起點，這將有助於我理解從IdP一方發起的SSO將會有所幫助。

謝謝。

Answer 1

SSO我通常使用準備SSO產品例如OpenAM或陳詞濫調完成

1. 這不同於產品到產品，但通常應用程序安裝充當用於檢查用戶是否與認證的過濾器的試劑IDP，如果不是，過濾器會將用戶重定向到IDP。
2. 通常存在這樣只保留認證狀態的SSO產品的認證會話，你仍然有你的應用程序，以保持應用程序特定用戶信息的會話。
3. 這也可以由產品處理。通常有兩種註銷方式。通過重定向或SOAP。重定向用戶被重定向到IDP，然後重定向到其登錄的不同SP。在SOAP中，您的應用程序會對IDP執行Web服務調用，請求註銷。然後，IDP將註銷請求發送給其他SP。重定向是推薦的方法。

我建議你閱讀technical overview on SAML from Oasis

在我的博客，我有一些職位，給予一定的介紹SAML

A short introduction to SAML

SAML Web Profile

在我的書中，A Guide To OpenSAML，我也寫很多關於這個