SSO與SAML - 這種情況可能嗎？

Question

我們目前有一個作爲SAML SSO配置中的服務提供者的應用程序。身份提供者是我們無法控制的完全不同的領域，我們的客戶就是這樣。儘管我們的客戶希望我們擁有一個「花哨」的登錄窗口小部件，基本上不是點擊鏈接而是重定向到他們的身份提供者，他們希望我們有一個用戶名和密碼輸入表單出現。

我的理解是，由於SAML的工作方式，我們不可能提供這種接口，但他們可以在他們的網站上完成，因爲他們不需要爲他們的服務提供商應用程序提供SAML，他們可以只集成與他們自己的登錄系統。

這是正確的，還是有辦法實現登錄表單，因爲他們建議？

Answer 1

SAML規範中沒有定義這一點。您可能會通過將信譽發佈到他們的外部公開頁面來破解一些東西。然而，這絕對不是安全最佳實踐，因爲它違反了反密碼模式，企業正在警告他們的員工。此外 - 如果他們有SAML IDP，他們爲什麼要這麼做？