Мы хотим обеспечить бесшовный доступ для всех наших пользователей к издателям SP. SP являются независимыми и предоставляют услуги многим различным компаниям, то есть каждый из нас имеет независимые решения IdP.Как я могу перенаправить SAML на правый IdP?
Мы хотим, чтобы он работал так, как будто аутентификации не было, т. Е. Пользователь нашел ссылку в Интернете и следил за ней. Если сайт предоставляет специальные услуги (за которые мы платим) за наших пользователей, мы хотели бы, чтобы они использовали наш собственный IdP (но только для наших собственных пользователей) для их аутентификации.
Наша текущая установка SAML требует, чтобы SP поддерживал распознавание IP-адреса и/или использовал определенные имена доменов, то есть пользователь получал доступ к определенному доменному имени или пришел из наших диапазонов IP-адресов, поэтому SP знает, какой IdP перенаправить на но если наш пользователь приходит с любого другого IP-адреса и не имеет доступа к определенному URL-адресу, система потеряна.
Как это решить?
Я думаю, что cookie, предоставленный SP каждый раз, когда пользователь получает аутентификацию (из нашей сети, которую распознает SP), может решить это, но является ли это стандартом? И это не решение, так как оно требует, чтобы наши пользователи посещали их хотя бы один раз из нашей сети!
Какой сервис SAML вы используете? Не предусматривает ли какой-либо вариант ограничения диапазонов IP-адресов? Или я неправильно понял вопрос? – Roshith
Я использую SimpleSAMLPHP, но это не имеет значения. :-) Это немного сложно, но дело в том, что моя компания и многие другие компании используют одни и те же SP, например, издатели, и для них можно определить, с каким IdP разговаривать, они используют распознавание IP-адресов или определенный домен имена. Я обновлю свой вопрос с нашей целью. –