如何使用SAML与AD进行SSO以用于Google托管服务？

Question

我们是一家小型教育机构，其学校电子邮件地址为Google Apps for Education。我们已经与一名外部供应商签订合约，该供应商为Google提供帐户，方法是获取我们AD中未设置电子邮件帐户的学生名单。一旦设置好，学生就可以使用他们的AD帐户证书（这是他们在校园中访问网络资源的方式）向Google服务进行身份验证。

我一直在寻找节省一点$$通过在内部引入这个过程，但一直在努力寻找如何去做到这一点的具体事例。 documentation that I did find有一个弃用警告。 SAML仍然如何处理这种认证方案？如果是这样，有人可以帮助我指出正确的方向吗？

我已经看过类似的问题，他们都没有真的帮助。

Python和.NET在这里被接受为解决方案实现。

Answer 1

有两种SSO身份验证方式。 SP发起 IDP发起

对于SP发起对谷歌Apps，您需要：

* Created a certificate and a private key using openssl toolkit or any other tool. 
* Upload this certificate to the Google Apps single sign on settings. 
* Give login URL to your application etc. 

对谷歌保存设置后完成。现在你需要编写一个代码，接受来自谷歌的请求令牌，并在解析后将其发送回谷歌应用程序。

对于您的代码，您将使用openSAML库。 您还需要一个密钥库（* .jks）才能使SAML响应被签名。

这些链接将帮助你。 SAML token help。 See this answer。