Avanpost FAM/MFA+ : 3.4.3. SAML Federation

Общие сведения

Avanpost FAM реализует функциональность аутентификации при помощи другого экземпляра Avanpost FAM, Avanpost MFA+ либо любого другого Identity Provider с поддержкой функциональности SAML Federation. 

Протокол SAML можно использовать для выполнения федеративного единого входа от провайдера идентификации (Identity Provider) к поставщикам услуг (Service Provider). При федеративном едином входе пользователи проходят аутентификацию у Idp. Service Provider использует информацию об удостоверениях, подтвержденную провайдерами идентификации. SP используют информацию об удостоверениях, подтвержденную IdP. 

В процессе взаимодействия участники SAML-федерации посредством серии запросов и ответов обмениваются специализированными наборами XML-сообщений.

Одна из сторон отправляет сообщение-запрос другой стороне, состоящей в SAML-федерации. Принимающая сторона направляет ответное сообщение отправившей запрос. При этом спецификация SAML обладает рядом дескрипторов для установления федерации, инициализации и SSO/SLO. Следующие дескрипторы определяют структуру, содержание сообщений и способ передачи сообщений между участниками SAML Federation и пользователями:

  • Assertion - XML-токены, передающие данные для идентификации пользователя, включающую информацию об аутентификации, атрибутах и ​​правах.
  • Protocols - Типы запросов и ответов, использующиеся для получения данных аутентификации и управления идентификационными данными.
  • Bindings - Формат привязки, используемый для передачи сообщений.
  • Profiles - Комплексы из Assertion, Protocols и Bindings, которые используются вместе для создания SAML Federation и обеспечения федеративного SSO.

Avanpost FAM предоставляет гибкий механизм настройки интеграции с внешними IdP, работающими по протоколу SAML. 

Более подробная информация о настройке внешних провайдеров идентификации с поддержкой SAML Federation дана в следующих разделах:

Обсуждение