處理SAML斷言如何工作？

Question

我需要成爲SAML解決方案中的服務提供者，並且想知道斷言處理是如何工作的。我找不到答案here。

我想象斷言會說：「我是約翰多伊，我的身份證是：999」？我是否需要一個與身份提供者「同步」的用戶列表？我需要一個訪問控制列表與SAML斷言具有相同的ID嗎？

場景：我有一個帶ACL的數據庫。我將成爲服務提供商，而遠程第三方系統將成爲身份提供商。

我不明白遠程系統如何知道我的訪問控制列表中有哪些用戶可以授權任何人。

Answer 1

SAMP規範本身不涵蓋IdP和SP用戶ID之間的映射。我建議你看看第5.4節，「建立和管理聯合身份證」，在SAMLOverview。這應該可以幫助您確定最適合您的方案的方法。

對於我工作的系統（作爲多客戶端/ IdP的SP），我們有一種機制，客戶端可以將他們自己的標識符與我們系統上的用戶相關聯;該機制不在SAML實施中。當客戶端向我們發送SAML斷言時，我們希望這些斷言能夠識別使用這些標識符的用戶（以及使用另一個共享標識符自己識別客戶端）。