क्या कोई मुझे समझा सकता है कि एसपीओ और आईडीपी द्वारा शुरू किए गए एसपीओ के बीच मुख्य अंतर क्या हैं, जिनमें से एडीएसएफ + ओपनैम फेडरेशन के साथ संयोजन में एकल साइन को लागू करने के लिए बेहतर समाधान होगा?

IDP Init SSO (Unsolicited Web SSO) में, IDP द्वारा सपा को एक अवांछित SAML प्रतिक्रिया भेजकर फेडरेशन प्रक्रिया शुरू की जाती है। SP-Init में, SP एक AuthnRequest बनाता है जिसे IDP को फेडरेशन प्रक्रिया में पहले चरण के रूप में भेजा जाता है और IDP इसके बाद SAML रिस्पांस के साथ प्रतिक्रिया करता है। SAML2.0 वेब SSO SP-Init के लिए IMHO ADFSv2 का समर्थन इसके IDP-Init समर्थन से अधिक मजबूत है: 3 पार्टी फेड उत्पादों के साथ एकीकरण (ज्यादातर रिले के लिए समर्थन के चारों ओर घूमना) इसलिए यदि आपके पास कोई विकल्प है तो आप SP- का उपयोग करना चाहेंगे। Init के रूप में यह शायद ADFSv2 के साथ जीवन को आसान बना देगा।

यहाँ PingFederate 8.0 से आरंभ करने वाले मार्गदर्शिका के कुछ सरल SSO विवरण दिए गए हैं, जिन्हें आप इसके माध्यम से प्रहार कर सकते हैं - साथ ही मदद कर सकते हैं - https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#arttingStartedGuide/task/idpInitiatedSsoPOST.html

IDP ने SSO की शुरुआत की

PingFederate प्रलेखन से: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

इस परिदृश्य में, कोई उपयोगकर्ता IdP पर लॉग ऑन है और दूरस्थ SP सर्वर पर किसी संसाधन तक पहुँचने का प्रयास करता है। SAML अभिकथन को HTTP POST के माध्यम से SP तक पहुँचाया जाता है।

प्रसंस्करण कदम:

1. एक यूजर ने IdP पर लॉग इन किया है।
2. उपयोगकर्ता एक संरक्षित एसपी संसाधन तक पहुंच का अनुरोध करता है। उपयोगकर्ता SP साइट पर लॉग ऑन नहीं है।
3. वैकल्पिक रूप से, IdP उपयोगकर्ता डेटा स्टोर से विशेषताएँ पुनर्प्राप्त करता है।
4. IdP की SSO सेवा ब्राउज़र पर एक HTML फॉर्म लौटाती है, जिसमें SAML प्रतिक्रिया होती है जिसमें प्रमाणीकरण का प्रमाण और कोई अतिरिक्त विशेषताएँ होती हैं। ब्राउज़र स्वचालित रूप से एसपी में वापस HTML फॉर्म पोस्ट करता है।

एसपी ने शुरू की एसएसओ

PingFederate प्रलेखन से: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

इस परिदृश्य में कोई उपयोगकर्ता लॉग ऑन किए बिना सीधे किसी SP वेब साइट पर संरक्षित संसाधन तक पहुँचने का प्रयास करता है। उपयोगकर्ता के पास एसपी साइट पर खाता नहीं है, लेकिन उसके पास तृतीय-पक्ष आईडीपी द्वारा प्रबंधित एक फ़ेडरेटेड खाता है। SP, IdP को प्रमाणीकरण अनुरोध भेजता है। अनुरोध और लौटे हुए दोनों SAML दावे उपयोगकर्ता के ब्राउज़र से HTTP POST के माध्यम से भेजे जाते हैं।

प्रसंस्करण कदम:

1. उपयोगकर्ता एक संरक्षित एसपी संसाधन तक पहुंच का अनुरोध करता है। प्रमाणीकरण को संभालने के लिए अनुरोध फेडरेशन सर्वर पर पुनर्निर्देशित किया गया है।
2. फेडरेशन सर्वर IdP से प्रमाणीकरण के लिए एक SAML अनुरोध के साथ ब्राउज़र में वापस HTML फॉर्म भेजता है। HTML फॉर्म स्वचालित रूप से IdP के SSO सेवा में पोस्ट हो जाता है।
3. यदि उपयोगकर्ता पहले से ही IdP साइट पर लॉग इन नहीं है या यदि पुनः प्रमाणीकरण की आवश्यकता है, तो IdP क्रेडेंशियल (जैसे, ID और पासवर्ड) और उपयोगकर्ता लॉग ऑन करने के लिए कहता है।

4. SAML प्रतिक्रिया में शामिल करने के लिए उपयोगकर्ता डेटा स्टोर से उपयोगकर्ता के बारे में अतिरिक्त जानकारी प्राप्त की जा सकती है। (ये विशेषताएँ IdP और SP के बीच महासंघ के समझौते के हिस्से के रूप में पूर्व निर्धारित हैं)

5. IdP की SSO सेवा ब्राउज़र पर एक HTML फॉर्म लौटाती है, जिसमें SAML प्रतिक्रिया होती है जिसमें प्रमाणीकरण का प्रमाण और कोई अतिरिक्त विशेषताएँ होती हैं। ब्राउज़र स्वचालित रूप से एसपी में HTML फॉर्म पोस्ट करता है। नोट: SAML विनिर्देशों की आवश्यकता है कि POST प्रतिक्रियाओं को डिजिटल रूप से हस्ताक्षरित किया जाए।

6. (नहीं दिखाया गया) यदि हस्ताक्षर और दावे मान्य हैं, तो SP उपयोगकर्ता के लिए एक सत्र स्थापित करता है और ब्राउज़र को लक्ष्य संसाधन में पुनर्निर्देशित करता है।

एसपी ने शुरू की एसएसओ

उपयोगकर्ता को बिल दें: "हे जिमी, मुझे वह रिपोर्ट दिखाएं"

जिमी एसपी: "अरे, मुझे यकीन नहीं है कि आप अभी तक कौन हैं। हमारे यहां एक प्रक्रिया है ताकि आप पहले बॉब आईडीपी के साथ खुद को सत्यापित कर लें। मुझे उस पर भरोसा है।"

बॉब द आईडीपी: "मैं देख रहा हूं कि जिमी ने आपको यहां भेजा है। कृपया मुझे अपनी साख दें।"

उपयोगकर्ता को बिल दें: "हाय आई बिल। यहां मेरी साख है।"

बॉब द आईडीपी: "हाय बिल। लगता है जैसे आप चेक आउट कर रहे हैं।"

बॉब द आईडीपी: "हे जिमी। यह आदमी बिल की जाँच करता है और यहाँ उसके बारे में कुछ अतिरिक्त जानकारी दी गई है। आप यहाँ जो चाहते हैं वही करते हैं।"

जिमी द एसपी: "ओके कूल। लगता है कि बिल भी हमारे ज्ञात मेहमानों की सूची में है। मैं बिल को अंदर आने दूँगा।"

IdP ने SSO की पहल की

उपयोगकर्ता को बिल दें: "हे बॉब। मैं जिमी के स्थान पर जाना चाहता हूं। वहां सुरक्षा कड़ी है।"

बॉब द आईडीपी: "हे जिमी। मुझे बिल पर भरोसा है। वह बाहर की जाँच करता है और यहाँ उसके बारे में कुछ अतिरिक्त जानकारी दी गई है। आप यहाँ से जो चाहें करें।"

जिमी द एसपी: "ओके कूल। लगता है कि बिल भी हमारे ज्ञात मेहमानों की सूची में है। मैं बिल को अंदर आने दूँगा।"

मैं यहां और अधिक विस्तार में जाता हूं, लेकिन फिर भी चीजों को सरल रखता हूं: https://jorgecolonconsulting.com/saml-sso-in-simple-terms/ ।