Recuerda que en las ciencias un error suele tener varias resoluciones, pero aquí compartimos lo mejor y más eficiente.
Solución:
SSO iniciado por IDP
De la documentación de PingFederate: – https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
En este escenario, un usuario inicia sesión en el IdP e intenta acceder a un recurso en un servidor SP remoto. La aserción SAML se transporta al SP a través de HTTP POST.
Pasos de procesamiento:
- Un usuario ha iniciado sesión en el IdP.
- El usuario solicita acceso a un recurso SP protegido. El usuario no ha iniciado sesión en el sitio de SP.
- Opcionalmente, el IdP recupera attributes del almacén de datos del usuario.
- El servicio SSO del IdP devuelve un formulario HTML al navegador con una respuesta SAML que contiene la afirmación de autenticación y cualquier información adicional. attributes. El navegador envía automáticamente el formulario HTML al SP.
SSO iniciado por SP
De la documentación de PingFederate:- http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO–POST-POST
En este escenario, un usuario intenta acceder a un recurso protegido directamente en un sitio web de SP sin iniciar sesión. El usuario no tiene una cuenta en el sitio del SP, pero tiene una cuenta federada administrada por un IdP de terceros. El SP envía una solicitud de autenticación al IdP. Tanto la solicitud como la aserción SAML devuelta se envían a través del navegador del usuario a través de HTTP POST.
Pasos de procesamiento:
- El usuario solicita acceso a un recurso SP protegido. La solicitud se redirige al servidor de federación para gestionar la autenticación.
- El servidor de federación devuelve un formulario HTML al navegador con una solicitud SAML de autenticación del IdP. El formulario HTML se publica automáticamente en el servicio SSO del IdP.
- Si el usuario aún no ha iniciado sesión en el sitio del IdP o si se requiere una nueva autenticación, el IdP solicita las credenciales (por ejemplo, ID y contraseña) y el usuario inicia sesión.
-
Se puede recuperar información adicional sobre el usuario del almacén de datos del usuario para incluirla en la respuesta SAML. (Estos attributes están predeterminados como parte del acuerdo de federación entre el IdP y el SP)
-
El servicio SSO del IdP devuelve un formulario HTML al navegador con una respuesta SAML que contiene la afirmación de autenticación y cualquier información adicional. attributes. El navegador envía automáticamente el formulario HTML al SP. NOTA: Las especificaciones de SAML requieren que las respuestas POST estén firmadas digitalmente.
-
(No se muestra) Si la firma y la afirmación son válidas, el SP establece una sesión para el usuario y redirige el navegador al recurso de destino.
En IDP Init SSO (SSO web no solicitado), el proceso de federación lo inicia el IDP que envía una respuesta SAML no solicitada al SP. En SP-Init, el SP genera una AuthnRequest que se envía al IDP como primer paso en el proceso de federación y luego el IDP responde con una respuesta SAML. En mi humilde opinión, la compatibilidad con ADFSv2 para SAML2.0 Web SSO SP-Init es más fuerte que su compatibilidad con IDP-Init en relación con la integración con productos de Fed de terceros (principalmente en torno a la compatibilidad con RelayState), por lo que si tiene una opción, querrá usar SP- Init, ya que probablemente hará la vida más fácil con ADFSv2.
Aquí hay algunas descripciones simples de SSO de la Guía de inicio de PingFederate 8.0 que puede consultar y que también pueden ayudar: https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html
SSO iniciado por SP
Bill al usuario: “Oye, Jimmy, muéstrame ese informe”
Jimmy the SP: “Oye, todavía no estoy seguro de quién eres. Tenemos un proceso aquí, así que primero debes verificarte con Bob the IdP. Confío en él”.
Bob the IdP: “Veo que Jimmy lo envió aquí. Por favor, deme sus credenciales”.
Factura al usuario: “Hola, soy Bill. Aquí están mis credenciales”.
Bob the IdP: “Hola, Bill. Parece que te marchaste”.
Bob, el IdP: “Hola, Jimmy. Este tipo, Bill, se retira y aquí hay información adicional sobre él. Puedes hacer lo que quieras desde aquí”.
Jimmy el SP: “Ok, genial. Parece que Bill también está en nuestra lista de invitados conocidos. Dejaré entrar a Bill”.
SSO iniciado por IdP
Bill al usuario: “Hola Bob. Quiero ir a la casa de Jimmy. La seguridad es estricta allí”.
Bob, el IdP: “Hola, Jimmy. Confío en Bill. Se retira y aquí hay información adicional sobre él. Puedes hacer lo que quieras a partir de aquí”.
Jimmy el SP: “Ok, genial. Parece que Bill también está en nuestra lista de invitados conocidos. Dejaré entrar a Bill”.
Entro en más detalles aquí, pero manteniendo las cosas simples: https://jorgecolonconsulting.com/saml-sso-in-simple-terms/.
Recuerda que tienes autorización de decir si tropezaste tu preocupación justo a tiempo.