问题描述
请参阅下图(source),我了解SSO设置如何在企业中如何工作,在该企业中,身份验证服务器充当组织的集中式IdP。
我的问题是,它如何与身份验证服务器不知道其用户的外部或合作伙伴应用程序(例如domain4.com)一起工作(假设它是Azure AD)。感谢有人可以确认我对这两种情况的理解。
方案1)将domain4.com作为SP,即domain1.com用户尝试通过SSO访问domain4.com应用程序
假设domain4.com在Azure AD中使用SSO(SAML或OpenIDC)配置为受信任的应用程序,则它允许domain1.com用户访问domain4.com。
方案2)作为SP的domain1.com,即domain4.com用户尝试通过SSO访问domain1.com应用程序
仅当domain1.com在domain4.com上注册时,才可以执行此操作,因为它是domain4.com的用户正在尝试访问,并且只有domain4.com的IdP可以对其进行验证。有什么办法吗?我碰到了external identities,但听不太懂。
解决方法
您知道,单点登录意味着您不必登录所用的每个应用程序。单一凭据将用于所有应用程序。
身份提供者和服务提供者,其中身份提供者是受信任的提供者,可让您使用单点登录(SSO)访问其他网站。服务提供商是托管应用程序的网站。如果用户要访问domain4.com中托管的应用程序,则他们domain4.com将成为服务提供商。 IDP启动的登录有两种类型,其中IDP侧用户端启动的登录。 SP启动的登录,由应用程序启动登录,然后请求将到达IDP端(Azure)。
为了清楚地了解有关单点登录的详细信息,请检查document。
如果您还有其他疑问,请告诉我