如何创建SSO服务提供商？

Question

我是新来的单一登录的概念。我们已经有一个管理其用户的Java Web应用程序。现在的要求是，身份验证将由客户端的SSO Idp（使用SAML）提供，然后请求将被转发到我们的应用程序。由于我之前没有执行过这样的任何操作，因此我需要澄清以下查询以进一步处理：

1. 如何在SSO IdP验证后检查请求？
2. 如何管理会话？因为会话将在客户端创建。
3. 如果他们登录注册，最好是留在我们的应用程序或重定向到他们的应用程序，用户访问我们的应用程序？

在客户端有一个内部应用程序，其中包含许多使用相同SSO IdP的应用程序的链接。用户无法直接访问互联网。

任何教程或起点，这将有助于我理解从IdP一方发起的SSO将会有所帮助。

谢谢。

Answer 1

SSO我通常使用准备SSO产品例如OpenAM或陈词滥调完成

1. 这不同于产品到产品，但通常应用程序安装充当用于检查用户是否与认证的过滤器的试剂IDP，如果不是，过滤器会将用户重定向到IDP。
2. 通常存在这样只保留认证状态的SSO产品的认证会话，你仍然有你的应用程序，以保持应用程序特定用户信息的会话。
3. 这也可以由产品处理。通常有两种注销方式。通过重定向或SOAP。重定向用户被重定向到IDP，然后重定向到其登录的不同SP。在SOAP中，您的应用程序会对IDP执行Web服务调用，请求注销。然后，IDP将注销请求发送给其他SP。重定向是推荐的方法。

我建议你阅读technical overview on SAML from Oasis

在我的博客，我有一些职位，给予一定的介绍SAML

A short introduction to SAML

SAML Web Profile

在我的书中，A Guide To OpenSAML，我也写很多关于这个