UI和REST的SSO和IDP代理

Question

我們正在構建一個SaaS應用程序（面向企業）。 我們必須能夠使用SSO功能（如此多租戶上下文）來登錄用戶，以防止他們公司的saml2 IdP 我們希望在孤立的組件中管理它，因此不是直接在它自己的應用程序上進行管理。 我們認爲使用一種「代理」。 我們有兩個問題： - WSO2 IS是否可以充當代理，將身份驗證委託給一個extern IdP？ - 我們的SaaS應用程序將通過依賴REST服務的UI提供，因此我們還需要使用服務管理SSO ，例如： 。用戶在 之前沒有任何登錄就進入了用戶界面。顯示公司IDP登錄頁面用於身份驗證 。登錄後，用戶界面將執行一些REST服務調用，並且我們需要確保這些服務調用的安全，確保 用戶被允許調用此服務 如何管理它？ 「代理」API是否也可以作爲「代理服務」來調用外部IDP API？

Tks Nicolas。

Answer 1

如果我正確地得到了你的問題，「富」公司現有的IDP。在「欄」域中您有應用程序。您不會直接將應用程序與IDP集成到「foo」中。並且您希望在「bar」域中安裝另一個IDP，此「bar」域IDP可與「foo」域中的現有IDP進行通話。是。 WSO2IS可以用來實現這種用例。它具有SAML2 SSO登錄的「身份驗證框架」...讓我解釋一下。當用戶被引導到WSO2IS SAML2 IDP時，用戶可以通過驗證默認行爲的用戶/密碼進行驗證。 （由「身份驗證框架」挑選的默認身份驗證器）。但是也可以有任何其他身份驗證器，例如SAML2 SSO（其中WSO2IS可以調用另一個SAML2 IDP並對用戶進行身份驗證），OpenID等。我想，相同的情況已經討論過here。我發現blog在執行此操作。