处理SAML断言如何工作？

Question

我需要成为SAML解决方案中的服务提供者，并且想知道断言处理是如何工作的。我找不到答案here。

我想象断言会说：“我是约翰多伊，我的身份证是：999”？我是否需要一个与身份提供者“同步”的用户列表？我需要一个访问控制列表与SAML断言具有相同的ID吗？

场景：我有一个带ACL的数据库。我将成为服务提供商，而远程第三方系统将成为身份提供商。

我不明白远程系统如何知道我的访问控制列表中有哪些用户可以授权任何人。

Answer 1

SAMP规范本身不涵盖IdP和SP用户ID之间的映射。我建议你看看第5.4节，“建立和管理联合身份证”，在SAMLOverview。这应该可以帮助您确定最适合您的方案的方法。

对于我工作的系统（作为多客户端/ IdP的SP），我们有一种机制，客户端可以将他们自己的标识符与我们系统上的用户相关联;该机制不在SAML实施中。当客户端向我们发送SAML断言时，我们希望这些断言能够识别使用这些标识符的用户（以及使用另一个共享标识符自己识别客户端）。