Question générale pour utiliser SSO et Shibboleth 2.0 - passer des attributs de l'IdP au SP

Question

J'ai lu sur l'utilisation de Shibboleth 2.0 comme technique de Single Sign On. Une confusion que j'ai est s'il est possible pour le fournisseur d'identité (IdP) de renvoyer au fournisseur de service (SP) un attribut d'email qui peut indiquer à l'application Web exactement Qui se connecte.

Par exemple, si l'utilisateur Joe est invité à s'inscrire (créer un utilisateur/passe, etc) à l'IdP avec un email joe@acme.com, et mon application peut identifier joe@acme.com, puis la réponse d'authentification de l'IdP indique 1.) oui , cette personne est qui il dit qu'il est, et 2.) son email ici est joe@acme.com.

Il semble comme un avantage majeur de l'authentification unique dans une fédération Shibboleth est que l'application n'a pas besoin de savoir quoi que ce soit sur les noms d'utilisateur et mots de passe particuliers que Joe choisit au IdP. Est-ce vrai? Et, si oui, est-ce une bonne conception, ou, quels sont les risques et les considérations de faire un tel système.

Si c'est pas un bon design, quelles sont les alternatives courantes?

Dans mon application, je suis derrière SSL, et tous mes courriels personnels sont connus et uniques. Merci.

Answer 1

Oui, une partie de l'authentification identifie qui vient de se connecter. Shibboleth fournit des mécanismes pour communiquer ce retour dans le cadre de la réponse SAML.

Voir https://spaces.internet2.edu/display/SHIB2/FlowsAndConfig#FlowsAndConfig-4.IdPIssuesResponsetoSP pour une description générale de cette partie de la conversation. L'IdP renvoie une "assertion" qui inclut tous les attributs de la personne que vous souhaitez. Shibboleth peut envoyer des attributs à certains SP uniquement - voir https://spaces.internet2.edu/display/SHIB2/IdPAddAttributeFilter.