15.7.7. Configuration d'un SSO initié par IDP

Dans PicketLink, le SP démarre habituellement le mouvement en envoyant une demande d'authentification à l'IDP, qui, à son tour, envoie une réponse SAML à SP avec une assertion valide. Ce mouvement s'appelle un SSO initié par SP. Mais les specs de SAML 2.0 définit également un autre flux, appelé initié par IDP ou une réponse SSO non sollicitée. Dans ce scénario, le SP n'initie pas le mouvement d'authentification et reçoit une réponse SAML de l'IDP. Le mouvement commence du côté IDP et une fois authentifié, l'utilisateur peut choisir un SP spécifique dans une liste pour être ensuite redirigé vers son URL.

Procédure

  1. L'utilisateur accède à l'IDP.
  2. L'IDP qui s'aperçoit qu'il n'y a aucune requête, ni aucune réponse SAML assume qu'il s'agit d'un premier scénario IDP utilisant SAML.
  3. L'IDP challenge l'utilisateur de s'authentifier.
  4. Une fois authentifié, l'IDP montre la section hébergée où l'utlisateur obtient une page qu'il relie à toutes les applications SP.
  5. L'utilisateur sélectionne une application SP.
  6. L'IDP redirige l'utilisateur vers le fournisseur de services par l'intermédiaire d'une assertion SAML dans le paramètre de requête, réponse SAML.
  7. Le SP vérifie l'assertion SAML et fournit l'accès.
Configuration

Aucune configuration spéciale n'est requise la prise en charge des Réponses non sollicitées, donc vous pouvez configurer votre IDP et vos SP comme d'habitude. Pour obtenir plus d'informations sur la façon de configurer IDP et SP, consulter :

Comment utiliser

Une fois que l'utilisateur est authentifié, l'IDP montrera une page contenant les liens menant à toutes les applications du fournisseur. Un lien devrait ressembler à ce qui suit :

<a href="http://localhost:8080/idp?SAML_VERSION=2.0&TARGET=http://localhost:8080/sales-post/">Sales</a>
Notez que le lien ci-dessus redirige l'utilisateur vers l'IDP en passant le paramètre de requête CIBLE, dont la valeur correspond à l'URL de l'application SP cible. Une fois que l'utilisateur clique sur le lien ci-dessus, l'IDP extrait le paramètre CIBLE de la requête, génère une réponse SAML v2.0 et redirige l'utilisateur vers l'URL cible. Lorsque l'utilisateur accède au SP, il est automatiquement authentifié.
Vous pouvez utiliser un paramètre de requête SAML_VERSION pour spécifier la version SAML qui doit être utilisée par l'IDP pour créer une réponse SAML. Le paramètre de SAM_VERSION peut avoir pour option 2.0 ou 1.1.