J'ai lu sur l'utilisation de Shibboleth 2.0 comme technique de Single Sign On. Une confusion que j'ai est s'il est possible pour le fournisseur d'identité (IdP) de renvoyer au fournisseur de service (SP) un attribut d'email qui peut indiquer à l'application Web exactement Qui se connecte.Question générale pour utiliser SSO et Shibboleth 2.0 - passer des attributs de l'IdP au SP
Par exemple, si l'utilisateur Joe est invité à s'inscrire (créer un utilisateur/passe, etc) à l'IdP avec un email [email protected], et mon application peut identifier [email protected], puis la réponse d'authentification de l'IdP indique 1.) oui , cette personne est qui il dit qu'il est, et 2.) son email ici est [email protected]
Il semble comme un avantage majeur de l'authentification unique dans une fédération Shibboleth est que l'application n'a pas besoin de savoir quoi que ce soit sur les noms d'utilisateur et mots de passe particuliers que Joe choisit au IdP. Est-ce vrai? Et, si oui, est-ce une bonne conception, ou, quels sont les risques et les considérations de faire un tel système.
Si c'est pas un bon design, quelles sont les alternatives courantes?
Dans mon application, je suis derrière SSL, et tous mes courriels personnels sont connus et uniques. Merci.
Merci, oui l'IdP peut renvoyer un certain nombre d'attributs de personne avec auth, il vous suffit de les demander. J'utilise ProtectNetwork et en utilisant IIS 7 et un ISAPI Shibboleth et c'est génial, une fois configuré. –