我们正在将SAML 2.0用于SSO,并希望通过允许用户仅输入一次电子邮件(以确定他们需要SSO)来改善UX。在通过Google的SAML IDP进行身份验证时,是否可以预先填写SAML SSO电子邮件字段?
我知道AuthnRequest有一个可选的Subject字段,可以将主体信息传递给IdP,但是到目前为止,我还没有设法预先填充Google的SSO表单。IdP不支持它,或者我发送了错误的配置。
我一直在尝试使用的现有配置如下所示:
<AuthnRequest xmlns="urn:oasis:names:tc:SAML:2.0:protocol" ID="_cd...." Version="2.0" IssueInstant="2019-01-01T00:00:00Z" Destination="https://accounts.google.com/o/saml2/idp?idpid=...">
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">(issuer_name)</saml:Issuer>
<Subject xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected]</NameID>
</Subject>
</AuthnRequest>
我希望Google SSO表单可以自动填充[email protected],但是什么也没有发生。
Subject元素在身份验证请求中是可选的,即使包含在内,大多数IdP也会将其忽略。由于身份验证请求可以由匿名方发送给身份提供者,因此执行您正在考虑的UX操作肯定会导致容易产生网络钓鱼。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句