我们希望为我们的所有用户提供无缝访问SP的发布商。 SP是独立的,为很多不同的公司提供服务,即我们每个人都有独立的IdP解决方案。我怎样才能让SAML重定向到正确的IdP?
我们希望它能像没有验证一样工作,即用户在因特网上找到一个链接并遵循它。如果网站为我们的用户提供特殊服务(我们付费),我们希望他们使用我们自己的IdP(但仅限于我们自己的用户)对其进行身份验证。
我们当前的SAML设置要求SP支持IP地址识别和/或使用特定域名,即用户访问特定域名或来自我们的IP范围,以便SP知道要重定向到哪个IdP但是如果我们的用户来自任何其他IP地址并且不访问特定的URL,则系统丢失。
这是怎么解决的?
我认为每当用户获得认证(SP认可的我们的网络)时,SP给出的cookie都可以解决这个问题,但这是标准吗?它不是一个真正的解决方案,因为它要求我们的用户至少从我们的网络访问过它们一次!
您使用哪种SAML服务?它不提供限制IP范围的任何选项吗?或者我错了吗? – Roshith
我正在使用SimpleSAMLPHP,但没关系。 :-) 这有点复杂,但重要的是,我的公司和许多其他公司使用相同的SP,例如发布商,并为他们能够找出哪些IdP与他们使用IP地址识别或特定域名。 我会用我们的目标更新我的问题。 –