我没有得到这种SAML请求的情况

问题描述 投票:1回答:1

在我的工作中,有一个SAML身份验证器提供商。只是出于好奇,我打开浏览器的devTools来跟踪认证周期中的saml序列。期待类似的东西:

  • 服务器向我发送SAML请求并且是证书。
  • 我的浏览器问我应该用什么证书对我进行身份验证。
  • 我的浏览器向服务器发送信息。
  • 服务器识别我并向我发送了一个令牌以允许访问服务。

但事实与我的预期略有不同。实际上根据我的网页浏览器:

  • 服务器使用包含一些参数的GET请求将我重定向到SAML身份验证服务器:SAML Before cert selected
  • 我的浏览器问我应该使用什么证书。
  • 我的浏览器更改了上面请求的标题,并从服务器获得响应,服务器将我重定向到我的服务。我现在确定:SAML After cert selected

所以这里有一些问题:

  • 1:如果没有收到有关我的信息,服务器如何验证我?
  • 2:我的浏览器使用他选择的证书做了什么?
  • 3:什么是SAMLRequest和RelayState args?
  • 4:为什么在选择任何证书之前我的请求都有“临时标题”,那么在得到任何回复之前他会获得一个令牌?

希望你们能回答我的问题。

提前致谢,

最良好的问候

saml
1个回答
0
投票

通常,在SAML的情况下,IdP向SP发送关于经过身份验证的用户的断言。

如何在IdP发生的实际身份验证超出范围。

约1/2:当您访问IdP时,它可能被配置为使用“TLS客户端身份验证”来执行“自动登录”。当您的浏览器参与“TLS客户端身份验证”时,IdP会了解您(或者更好地了解所提供的证书)。

大约3:SAMLRequest请求参数是deflate编码的SAML AuthnRequest,因为使用了HTTP重定向绑定...请检查SAMLv2规范。 RelayState请求参数保存SP在成功的“SP-initaited SSO”流后重定向到的目标URL。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.