我正在尝试使用SAML协议对用户进行身份验证。到目前为止,我在两个不同的身份提供者(Auth0和OneLogin)中有两个应用程序来测试。我也有我的服务提供商。我要做的是验证用户,而不将其重定向到任何身份提供商登录表单。像这样的东西:
我知道这不是SAML的预期用途,但我想知道是否有办法实现它以及如何实现。
任何帮助或建议都会很受欢迎,谢谢。
这不是SAML的工作方式,我不知道任何接受用户名和密码的SAML身份提供商。
可以在发送给身份提供商的SAML authn请求中包含用户名,但是没有包含密码的规定。
我认为,如果要在不同的网站(即服务提供商)上提示用户提供其一个网站(即身份提供商)的凭据,则需要考虑许多安全因素。
使用SAML SSO,如果用户尚未在身份提供商处进行身份验证,则会提示用户登录。