1. घर
  2. सवाल और जवाब
  3. मतभेद शुरू की एसएसओ और आईडीपी एसएसओ

मतभेद शुरू की एसएसओ और आईडीपी एसएसओ

2012-10-08 10 views
67

शुरू की किसी को भी मुझे समझा सकते हैं कि बीच सपा एसएसओ शुरू की है और आईडीपी शुरू की एसएसओ हैं सहित जिसके साथ संयोजन के रूप में एकल प्रवेश लागू करने के लिए बेहतर समाधान हो सकता है, मुख्य अंतर एडीएफएस + ओपनएम फेडरेशन?मतभेद शुरू की एसएसओ और आईडीपी एसएसओ

स्रोत

2012-10-08 pbhle

उत्तर

53

आईडीपी इनिट एसएसओ (अनचाहे वेब एसएसओ) में फेडरेशन प्रक्रिया आईडीपी द्वारा एसपी को एक अनचाहे SAML प्रतिक्रिया भेजकर शुरू की जाती है। एसपी-इनिट में, एसपी एक एथनरूक्वेट उत्पन्न करता है जिसे आईडीपी को फेडरेशन प्रक्रिया में पहला कदम माना जाता है और आईडीपी फिर एसएएमएल प्रतिक्रिया के साथ प्रतिक्रिया देता है। SAML2.0 वेब एसएसओ एसपी-इनिट के लिए IMHO ADFSv2 समर्थन इसके आईडीपी-इनिट समर्थन पुनः से मजबूत है: तृतीय पक्ष फेड उत्पादों (ज्यादातर रिलेस्टेट के लिए समर्थन के आसपास घूमते हुए) के साथ एकीकरण, इसलिए यदि आपके पास कोई विकल्प है तो आप एसपी- इनिट के रूप में यह संभवतः एडीएफएसवी 2 के साथ जीवन आसान बना देगा।

यहाँ PingFederate 8.0 आरंभ करने की मार्गदर्शिका है कि आप उस के माध्यम से प्रहार कर सकते हैं से कुछ सरल एसएसओ विवरण मदद मिल सकती है और साथ ही कर रहे हैं - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html

स्रोत

2012-10-08 18:56:18 Ian

+0

ठीक है धन्यवाद .... :) – pbhle

57

आईडीपी एसएसओ

शुरू PingFederate प्रलेखन से: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

इस परिदृश्य में, उपयोगकर्ता आईडीपी पर लॉग ऑन है और रिमोट एसपी सर्वर पर संसाधन तक पहुंचने का प्रयास करता है। एसएएमएल दावा एसपी को HTTP पोस्ट के माध्यम से ले जाया जाता है।

प्रसंस्करण कदम:

  1. एक उपयोगकर्ता IdP पर लॉग इन किया है।
  2. उपयोगकर्ता एक संरक्षित एसपी संसाधन तक पहुंच का अनुरोध करता है। उपयोगकर्ता एसपी साइट पर लॉग ऑन नहीं है।
  3. वैकल्पिक रूप से, आईडीपी उपयोगकर्ता डेटा स्टोर से विशेषताओं को पुनर्प्राप्त करता है।
  4. आईडीपी की एसएसओ सेवा एक एसएएमएल प्रतिक्रिया के साथ ब्राउज़र में एक HTML फॉर्म देता है जिसमें प्रमाणीकरण दावा और कोई अतिरिक्त विशेषता होती है। ब्राउज़र स्वचालित रूप से एसपी पर एचटीएमएल फॉर्म पोस्ट करता है।

सपा एसएसओ

शुरू PingFederate प्रलेखन से: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

इस परिदृश्य एक उपयोगकर्ता पर लॉग इन किया जा रहा है बिना एक सपा वेब साइट पर सीधे एक संरक्षित संसाधन का उपयोग करने का प्रयास करता है। उपयोगकर्ता के पास एसपी साइट पर कोई खाता नहीं है, लेकिन एक संघीय खाता है जो किसी तृतीय-पक्ष आईडीपी द्वारा प्रबंधित किया जाता है। एसपी आईडीपी को प्रमाणीकरण अनुरोध भेजता है। दोनों अनुरोध और लौटाए गए SAML दावे को उपयोगकर्ता के ब्राउज़र के माध्यम से HTTP पोस्ट के माध्यम से भेजा जाता है।

प्रसंस्करण कदम:

  1. प्रयोक्ता किसी सुरक्षित सपा संसाधन की पहुंच का अनुरोध। प्रमाणीकरण को संभालने के लिए अनुरोध फेडरेशन सर्वर पर रीडायरेक्ट किया गया है।
  2. फेडरेशन सर्वर आईडीपी से प्रमाणीकरण के लिए SAML अनुरोध के साथ ब्राउज़र पर एक HTML फॉर्म वापस भेजता है। एचटीएमएल फॉर्म स्वचालित रूप से आईडीपी की एसएसओ सेवा में पोस्ट किया जाता है।
  3. यदि उपयोगकर्ता पहले से ही आईडीपी साइट पर लॉग इन नहीं है या फिर पुनः प्रमाणीकरण की आवश्यकता है, तो आईडीपी प्रमाण पत्र मांगता है (उदा।, आईडी और पासवर्ड) और उपयोगकर्ता लॉग ऑन करता है।

  4. उपयोगकर्ता के बारे में अतिरिक्त जानकारी SAML प्रतिक्रिया में शामिल करने के लिए उपयोगकर्ता डेटा स्टोर से पुनर्प्राप्त की जा सकती है। (इन विशेषताओं को आईडीपी और एसपी के बीच संघ समझौते के हिस्से के रूप में पूर्व निर्धारित किया गया है)

  5. आईडीपी की एसएसओ सेवा एक एसएएमएल प्रतिक्रिया के साथ ब्राउज़र में एक HTML फॉर्म लौटाती है जिसमें प्रमाणीकरण दावा और कोई अतिरिक्त विशेषता होती है। ब्राउज़र स्वचालित रूप से एसपी पर एचटीएमएल फॉर्म पोस्ट करता है। नोट: SAML विनिर्देशों की आवश्यकता है कि पोस्ट प्रतिक्रियाओं को डिजिटल हस्ताक्षरित किया जाए।

  6. (दिखाया नहीं गया) यदि हस्ताक्षर और दावे वैध हैं, तो एसपी उपयोगकर्ता के लिए एक सत्र स्थापित करता है और ब्राउज़र को लक्षित संसाधन पर रीडायरेक्ट करता है।

स्रोत

2014-03-26 06:38:56 user3061250

+1

पुन: एसपीओ ने उपरोक्त एसएसओ - पॉइंट 3 शुरू किया है, "यदि उपयोगकर्ता पहले से ही आईडीपी साइट पर लॉग इन नहीं है या फिर पुनः प्रमाणीकरण की आवश्यकता है, तो आईडीपी प्रमाण पत्र मांगता है (उदाहरण के लिए, आईडी और पासवर्ड) और उपयोगकर्ता लॉग ऑन करता है। " सिस्टम कैसे निर्धारित करता है कि उपयोगकर्ता आईडीपी साइट पर लॉग ऑन है या नहीं? क्या यह एक कुकी उत्पन्न करता है, उदाहरण के लिए? – Edwardo

+0

@Edwardo आपकी धारणा सही है। जब एक आईडीपी के साथ एक सत्र स्थापित किया जाता है, आमतौर पर आईडीपी उस सत्र को बनाए रखने के लिए एक कुकी उत्पन्न करता है। – jekennedy

+0

मेरे पास एक और सवाल है http://stackoverflow.com/questions/43861315/how-to-maintain-state-parameter-in-identity-provider-idp-initiated-saml-sso। क्या आप इसे देख सकते हैं? – kawadhiya21

-4

सपा शुरू एसएसओ

सपा: "अरे, आप साल पता है?"

IdP:

सपा "?! क्या मुझे ... ओह, यह सही है हाँ, मैं साल पता": "।। ठीक है मैं उसे शांत में दूँगा"

IdP एसएसओ

शुरू

IdP: "अरे साल मुझसे कहता है तुम्हें पता है उसे"

सपा: "।। मैं है ... ओह, हाँ मैं मैं उसे में दूँगा"

स्रोत

2016-11-11 06:54:59 2upmedia

+17

मुझे नहीं लगता कि दूसरी बातचीत सही है .... इसके बजाय यह होना चाहिए: आईडीपी: "अरे, यहां साल के बारे में कुछ जानकारी है, कृपया उसे अंदर दें"/एसपी: "ठीक है, मैं आपको भरोसा करता हूं, मैं चलो उसे " –

+3

में पहली बातचीत भी सही नहीं है: पहले चरण में एसपी को यह पता नहीं है कि यह अभी तक कौन सा उपयोगकर्ता है, केवल आईडीपी पर उपयोगकर्ता लॉग इन करेगा और खुद को" साल " – Allie

+1

के रूप में पहचान लेगा। पहली बातचीत होनी चाहिए: एसपी: "अरे, तुम्हारी आईडी कहां है?" आईडीपी: "रुको, मैं इसे देख लूंगा। कृपया मुझे अपना आईडी देखने दो। ठीक है भाई उसे अंदर जाने दो, उसे साल का नाम दिया गया है और वह 21 (वैकल्पिक रूप से)" एसपी: "कूल दोस्त, आपका कमाल है! अरे तुम अंदर आओ ! " –

संबंधित मुद्दे

 संबंधित मुद्दे