SSO 환경에서는 사용자 계정이 IdP에서 유지 관리되지만 일부 서비스 공급자는 활성 사용자 계정이있는 데이터베이스를 유지 관리합니다. 이제 사용자가 IdP에서 비활성화 된 경우 해당 사용자가 데이터베이스에 활성 사용자로 남아있는 각 SP에 해당 정보를 전달하는 가장 좋은 방법은 무엇입니까?
SAML 프로필 문서를 살펴본 후 IdP가 특정 식별자 / 사용자의 종료에 대해 SP에 알릴 수있는 이름 식별자 관리 프로필을 찾았습니다 .
이것이 SP와 IDP가 구현해야하는 올바른 프로필입니까 (구현하기 쉬운가?) 아니면이를 달성하는 다른 간단한 방법이 있습니까? 어떤 제안이라도 대단히 감사합니다.
감사,
Abhilash
대부분의 경우 사용자는 처음으로 IDP를 통해 로그인하는 순간 SP 측 로컬 데이터베이스에 생성됩니다. 또한 사용자가 SP에 액세스하려면 항상 IDP를 통해 인증해야하므로 IDP에서 비활성화 된 사용자를 SP 측에서 활성 상태로 유지하는 것이 안전합니다 (보안 관점에서 볼 때). SP에 로그인).
SP 데이터베이스를 깨끗하게 유지하는 한 가지 방법은 일정 시간 동안 로그인하지 않은 사용자를 자동으로 제거하거나 비활성화하는 것입니다. 그러면 사용자가 IDP에서 다시 활성화되고 SP에 다시 액세스를 시도하는 즉시 다시 생성되거나 다시 활성화됩니다.
또 다른 접근 방식은 IDP와 SP간에 사용자 지정 동기화 프로세스를 만드는 것입니다 (예 : IDP에서 CSV 덤프를 만들고 주기적으로 SP로 가져 오기).
"종료"요청이있는 이름 식별자 관리 프로필을이 목적으로 사용할 수 있습니다. 동기식 바인딩은 IDP에서 SP 로의 웹 서비스 SOAP 호출입니다. 그러나 대부분의 SP 구현은이 프로필을 지원하지 않으며 대부분의 (모두는 아니지만) IDP는 적시에 전화를 걸기 위해 어느 정도의 사용자 지정이 필요합니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다