我使用Spring SAML实现了一个SP。我使用SSO Cicle IDP对其进行了测试。我现在有Web SSO工作正常。我的客户正在使用Tivoli Federated Identity Manager作为他的IDP。我的SP与SSO Circle IDP工作正常,我是否需要与其他IDP一起测试以确保它正常工作?
我的问题是,是否让我的SP与一个被认为足以启动与客户的集成阶段的IDP(SSO圈)工作? Web SSO进程是否独立于使用哪个IDP(因为SAML最终是协议)与我的SP无关?
在此先感谢。
是的--SAML是一个协议,因此(理论上)你已经得到它与一个IDP一起工作的事实意味着它应该为其他人工作。
但是您需要考虑到选项可能会有所不同,例如一个IDP可能具有加密的令牌,另一个不是或者可以强制签署AuthnRequests,而另一个可能不关心。
根据我的经验,您可能会遇到Spring-saml扩展有助于生成SP元数据的问题。例如,我使用OpenSSO进行开发,每当将代码移动到更高级的环境(使用不同的IDP)时,我总是遇到URL形式的entityID。幸运的是,大多数国内流离失所者将允许您在导入时编辑元数据。 所以我认为你应该没问题,如果你遇到问题,我会先看看SP元数据。
您当然可以在Spring SAML的元数据生成期间配置显式entityID。默认实体ID是所有国内流离失所者都应该允许的URL。以前的Spring SAML版本在元数据(不是实体ID)中默认生成ID时可能会包含无效字符。这已在Spring SAML 1.0.0.RELEASE中修复 – 2014-11-13 09:15:54
同意的SAML是一个标准,但非常灵活。在标准中,许多属性是可选的,但在某些实现中它们是必需的,在其他实施中它们仍然是可选的。 – 2014-11-06 18:34:31