Obwohl in einer SSO-Umgebung die Benutzerkonten bei IdP verwaltet werden, unterhalten einige Dienstanbieter eine Datenbank mit aktiven Benutzerkonten. Wenn nun ein Benutzer bei IdP deaktiviert wird, was ist der beste Weg, diese Informationen an die jeweiligen SPs weiterzugeben, die diesen Benutzer noch als aktiven Benutzer in ihrer Datenbank haben?
Nachdem ich die SAML-Profile-Dokumentation durchgelaufen bin, habe ich Name Identifier Management Profile gefunden, wo ein IdP einen SP über die Beendigung eines bestimmten Bezeichners / Benutzers informieren kann.
Ist dies das richtige Profil, das der SP und der IDP implementieren sollten (ist das einfach umzusetzen?) oder gibt es einen anderen einfachen Weg, dies zu erreichen? Irgendwelche Vorschläge werden sehr geschätzt.
Danke,
Abhilash
In den meisten Fällen werden Benutzer in lokalen Datenbanken auf der SP-Seite erstellt, sobald sich der Benutzer zum ersten Mal über den IDP anmeldet. Und da der Benutzer sich immer über IDP authentifizieren muss, um auf SP zuzugreifen, ist es (aus Sicherheitsgründen) sicher, Benutzer, die bei IDP deaktiviert wurden, auf der SP-Seite aktiv zu halten (da sie nicht in der Lage sind) login in SP trotzdem).
Ein Ansatz, um die SP-Datenbank sauber zu halten, besteht darin, Benutzer, die sich nicht für eine bestimmte Zeit angemeldet haben, automatisch zu entfernen oder zu deaktivieren. Der Benutzer wird dann neu erstellt oder reaktiviert, sobald er bei IDP wieder aktiviert wird und versucht, erneut auf den SP zuzugreifen.
Ein anderer Ansatz besteht darin, einen benutzerdefinierten Synchronisationsprozess zwischen IDP und SP zu erstellen (z. B. einen CSV-Speicherauszug von IDP erstellen und ihn regelmäßig in SP importieren).
Für diesen Zweck könnte das Profil "Name Identifier Management Profile" mit der Anforderung "Terminate" verwendet werden. Bei synchroner Bindung handelt es sich lediglich um einen Web Service SOAP-Aufruf von IDP an SP. Aber die meisten SP-Implementierungen unterstützen dieses Profil nicht und die meisten (wenn nicht alle) IDPs würden eine gewisse Anpassung erfordern, um den Anruf zum richtigen Zeitpunkt zu tätigen.
SAML ist nicht der richtige Ansatz dafür. Ich würde empfehlen, einen Blick auf den entstehenden Standard namens SCIM (System für domänenübergreifendes Identitätsmanagement) zu werfen, der genau diese Art von Benutzeridentitätsbereitstellung über eine REST-konforme API handhaben soll. Hier sind ein paar Ressourcen zum Auschecken -
HTH - Ian
Tags und Links single-sign-on saml-2.0