wso2 - 服务提供商的入站身份验证配置和身份提供商的联合身份验证器配置之间有什么区别？

Question

我无法理解服务提供商的入站身份验证配置和身份提供商的联合身份验证器配置之间的区别。

• 我添加了新的服务提供商并配置了 SAML 入站身份验证配置。
• 我使用仪表板添加了一个新用户。
• 我在 tomcat 上部署了一个 Web 应用程序(travelocity)作为服务提供者，它向 IS 服务器请求 SAML 身份验证
• 当我点击 travelocity 的 SAML 登录链接时，它会转发到 IS 服务器的登录页面。
• 输入用户名/密码，登录成功。

在此过程中，我没有配置身份提供者，但身份验证有效。但我在身份提供者的联合身份验证器配置 (SAML) 中发现了一些类似的配置。我不明白为什么需要联合身份验证器配置。

我理解如下。

当用户信息(id、密码等)存储在 IS 服务器中，并且身份验证过程在 IS 服务器中处理时，SP(服务提供商)的入站身份验证配置就足够了。不需要配置 IDP(身份提供者)。对吗？

当用户信息(id、密码等)存储在另一台 IS 服务器或其他公司的服务器(google、facebook)时并且身份验证过程正在另一台 IS 服务器或其他公司的服务器(google，facebook)中处理，IDP(身份提供者)的联合身份验证器配置就足够了。不需要配置SP(服务提供商)。对吗？

在这种情况下，不需要配置身份提供者。当仅使用入站身份验证配置 (SAML) 时，它会在此实例中处理请求。并且在配置联合身份验证器配置(SAML)时，它将请求转发到另一个实例。对吗？

我想知道我的想法对不对。

请给我一些关于以下情况的例子。

• 案例只需要服务商
• 案例只需要身份提供者
• 案例需要服务提供商和身份提供商

Answer 1

服务提供者是一个应用程序。您需要为此应用程序添加身份验证。因此，您使用一些身份提供者来配置身份验证功能。假设你使用 WSO2IS，那么你需要在 WSO2IS 中配置 SP 相关配置。您可以使用服务提供商配置和入站身份验证来使用 SP 和 IDP 可以相互交谈的所需协议(protocol)注册您的 SP。

现在，您的 IDP 是什么？是的，您的 IDP 是 WSO2IS。登录您的应用程序的用户也在 WSO2IS 中。用户可以通过提供用户/密码登录。

例如，您的应用程序需要社交登录。您需要在您的应用中添加使用 Google 登录。但是您的应用程序的 IDP 是 WSO2IS，您需要添加新的 IDP 作为 Google。那么，我们能做什么呢？您可以使用身份提供商配置在 WSO2IS 中注册 IDP。在您可以通过定义出站身份验证配置将此 IDP 映射到您的应用程序之后。在这里，您可以将 WSO2IS 和 Google 都定义为您的应用程序的 IDP。我建议你通过this提到 WSO2IS 这些类型用例的博客文章。通常它被称为联合身份验证。

除了一种情况是 SAML2 Bearer assertion grant type 之外，没有任何要求只定义一个 IDP。