Моето разбиране за протокола SAML (v2) е, че доставчиците на услуги трябва да взаимодействат директно с доставчиците на самоличност, за да обменят заявка за оторизация и съобщения за твърдения.
Мога да се сетя за редица причини, поради които това би било лоша идея (подкопава подписването на съобщения, дава на междинния IdP достъп до информация от друг IdP), но има ли сценарии, поддържани от SAML, които биха позволили следното споразумение?
SP ‹------> MainIdP ‹------> ThirdPartyIdP
Така (хипотетично), ако приемем, че MainIdP има някакъв умен начин да определи, че потребителят на SP трябва да удостовери срещу ThirdPartyIdP, той ще делегира на ThirdPartyIdP и след това ще получи отговора, ще го обработи и ще отговори на SP. SAML позволява ли това? (Питам, защото доставчик на софтуер е предложил този подход и смятам, че не се поддържа, както и че е фундаментално несигурен.)
„Правилният“ подход, доколкото разбирам, е SP да бъде конфигуриран да знае за двата IdP независимо един от друг и или да предоставя на потребителя списък, от който да избира, или да делегира на услуга за откриване, която може да пита потребителя или да прави изводи от някои други средства, кой IdP да използвате. Това вярно ли е?
Благодаря.
