寻找有关第一个SAML实施的反馈

我的任务是设计一个非常简单的SSO(单点登录)流程.我的雇主已指定应在SAML中实施.我想在确认SAML规范时创建尽可能简单的消息.

我会非常感激,如果你们当中有些人会看我的请求和响应消息,并告诉我,如果他们有意义我的目的,如果他们有任何不需要在那里,如果他们缺少什么,不需要在那里.

另外,我想知道在回复的哪个部分我应该提供有关该主题的其他信息; 特别是主题的电子邮件地址.

交互需要如下工作:

用户此时向服务提供商请求服务,服务提供商对用户一无所知.

服务提供商请求身份提供商对用户进行身份验

用户由身份提供商进行身份验证/注册

身份提供商使用身份验证成功消息PLUS用户的电子邮件地址来响应服务提供商.

以下是我认为请求应该是:

   
    http://www.serviceprovider.com
    
    
        3f7b3dcf-1674-4ecd-92c8-1544f346baf8
    

以下是我认为响应应该是:

    
        
    
    
        
            3f7b3dcf-1674-4ecd-92c8-1544f346baf8
            
                
            
        
        
            
                urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
            
        
    

所以,我的问题是:

这是一个有效的SAML交互吗？

可以简化请求或响应XML吗？

我应该在回复的哪个位置放置主题的电子邮件地址？

我非常感谢你的帮助.非常感谢!

-摩根

您在请求中不需要主题 - 查看规范,我认为这可能很简单:

省略所有可选元素和属性(Issuer,NameIDPolicy,AssertionConsumerServiceURL等)意味着您的身份提供者和服务提供者已预先同意这些,因此不需要在AuthnRequest中指定它们.如果你控制了两端,并且你绝对知道你永远不会在混合中添加另一个提供者,那么这是一个完全合法的SAML请求.它意味着"通过我们同意的机制验证提供此信息的用户".

看看响应,我认为这是最小的情况:

    
        
    
    
        
            
                user@example.com
            
        
        
            
                
                    urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
                
            
        
    

您可以将用户的电子邮件地址作为NameID发送,并且AuthnStatement仅承载身份提供商在给定时间由给定机制对用户进行身份验证的事实.再次,这被剥离到骨骼 - 我们省略了属性和元素,如Destination和SubjectConfirmationMethod,因为它们对用例是多余的.

因此,此响应显示"这是user@example.com;他于2008年11月21日17:13:42通过受保护的传输(SSL/TLS)登录密码".

您应该查看SAML 2.0配置文件规范,了解传递这些来回的确切机制.AuthnRequest通常在GET中作为URL参数进行压缩,编码和传递,而返回Response的最简单方法是通过POST绑定 - 返回一个HTML页面,其中包含一个目标是服务提供者的表单,并在页面加载时间通过一些JavaScript.