客户目前正在尝试确定他们是否希望为其应用程序实施基于SAML 2.0的SSO实施。但是,他们的用户有许多不同的身份提供者。我已经构建了一些SAML实现,但它们仅用于一个身份提供者,并且我没有任何使用许多不同身份提供者的应用程序的实践经验。
问题:您通常可以为多个身份提供商构建一个可配置的SAML客户端,还是必须构建多个不同的客户端才能为所有客户端提供服务?
单个服务提供商(SP)可以根据需要使用尽可能多的身份提供商(IdP)。 SP需要知道的唯一事情是用于特定用户的IdP。它以两种方式之一来做到这一点。它显示它知道的IdP列表,用户选择一个,或者用户在“无WAYF”URL上到达SP。 WAYF意味着您来自哪里,但很大程度上取代了SAML发现过程。向SP提供IdP的entityID绕过WAYF,因此无WAYF的URL。
例如您可以使用以下行的URL方案:
https://yourapp.com/login?idp=https://someidp.com/shibboleth
https://someidp.com/shibboleth是IdP的entityID。您的SP在其元数据存储中查找该entityID以查找IdP的SSO URL,并将用户发送到其正确的IdP以进行登录。
一旦您的SP将用户重定向到他们的IdP,SAML流程在此之后是正常的。因此,SP需要做的唯一事情就是确定SSO URL的位置。所有IdP都将返回相同的SAMLResponse格式,但当然还有自己的属性等。