有人可以向我解釋這一點, 在IBM信息中心,他們提到「WebSphere Application Server僅支持IdP啓動的SAML Web SSO」。我有兩個J2EE應用程序,部署在WAS v8.5的兩個不同實例上,這些應用程序使用基於表單的身份驗證機制來驗證用戶身份。我想在它們之間配置SAML SSO,我將在其中使用外部身份提供程序,並且將配置每個WAS實例作爲服務提供者,注意上述語句意味着我無法實現SAML SOO,因爲身份驗證將在服務提供商,如果沒有人請向我解釋上述說明?關於「WAS僅支持IdP啓動的SAML Web SSO」的說明
在SAML版本1中,用戶總是從Idp開始,然後跟隨鏈接到Sp。登錄是在Idp處啓動的。
使用SAML版本2,AuthnRequest消息被添加到協議,該協議使用戶能夠在Sp。然後,Sp向012p發送AuthnRequest消息,Idp以包含斷言的Response消息回覆。
它看起來像WAS只支持第一種情況,這意味着Sp發起的自動登錄是不可能的。但是,您始終可以在Sp開始頁面上向Idp提供一個鏈接,以便進行手動登錄。
WebSphere Application Server當前不支持真正的Sp-Initiated SSO。正如前面的回答中所述,它支持Idp發起。但是,它也支持一種稱爲「書籤樣式SSO和TAI過濾器」的混合,您可以將客戶端發送到WebSphere,然後重定向到Idp,Idp然後將SAMLResponse發送回WebSphere。這使您不必直接將客戶端發送到IdP。這是一個非常常見的用例。
你可以閱讀書籤樣式SSO和TAI在這裏進行過濾:
「收藏風格SSO和TAI過濾器:
考慮書籤樣式SSO傳統上適合的SP用戶訪問業務應用程序時不首先向IdP進行身份驗證WebSphere可以配置SAML TAI以啓動SSO每個SSO合作伙伴配置包含一個IdP登錄應用程序和一個路由過濾器每個過濾器定義一個選擇規則列表,表示與HTTP請求相匹配的條件,以確定是否爲SSO合作伙伴選擇了HTTP請求。過濾規則是HTTP請求標頭,引用者數據和目標應用程序名稱的組合。 WebSphere SAML TAI運行時環境根據所有過濾規則檢查用戶請求,以唯一標識SSO合作伙伴,並將請求重定向到選定的IdP登錄應用程序。 TAI過濾器允許IdP發起的SSO提供與SP發起的SSO和IdP發現服務的組合類似的功能。「