回答:
IDP Init SSO(非請求Web SSO)では、フェデレーションプロセスは、非請求SAML応答をSPに送信するIDPによって開始されます。SP-Initで、SPはフェデレーションプロセスの最初のステップとしてIDPに送信されるAuthnRequestを生成し、IDPはSAML応答で応答します。SAML2.0 Web SSO SP-InitのIMHO ADFSv2サポートは、IDP-Initサポートre:サードパーティのFed製品との統合(主にRelayStateのサポートを中心に展開)よりも強力であるため、選択肢がある場合はSP-を使用する必要があります。それはおそらくADFSv2で人生を楽にするので初期化します。
PingFederate 8.0 Getting Started Guideの簡単なSSOの説明を以下に示します。これは、同様に役立つ可能性があります。https: //documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html
IDPが開始したSSO
PingFederateのドキュメントから: - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html
このシナリオでは、ユーザーはIdPにログオンし、リモートSPサーバー上のリソースへのアクセスを試みます。SAMLアサーションは、HTTP POSTを介してSPに転送されます。
処理ステップ:
SPが開始したSSO
PingFederateのドキュメントから: - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST
このシナリオでは、ユーザーはログオンせずに、SP Webサイト上の保護されたリソースに直接アクセスしようとします。ユーザーはSPサイトにアカウントを持っていませんが、サードパーティのIdPによって管理されているフェデレーションアカウントを持っています。SPは認証要求をIdPに送信します。リクエストと返されたSAMLアサーションの両方が、HTTP POSTを介してユーザーのブラウザから送信されます。
処理ステップ:
ユーザーに関する追加情報をユーザーデータストアから取得して、SAMLレスポンスに含めることができます。(これらの属性は、IdPとSP間のフェデレーション合意の一部として事前に決定されています)
IdPのSSOサービスは、認証アサーションと追加の属性を含むSAML応答とともにHTMLフォームをブラウザーに返します。ブラウザはHTMLフォームをSPに自動的にポストします。注: SAML仕様では、POST応答にデジタル署名が必要です。
(表示なし)署名とアサーションが有効な場合、SPはユーザーのセッションを確立し、ブラウザーをターゲットリソースにリダイレクトします。
ユーザーに請求:「ジミーさん、レポートを見せて」
SPのジミー:「ねえ、あなたがまだ誰なのかわからない。私たちはここにプロセスがあるので、まずBob the IdPで自分自身を確認してもらいます。私は彼を信頼しています。」
IdPのボブ:「ジミーがここにあなたを送ったようです。資格情報を教えてください。」
ユーザーに請求します。「こんにちは、ビルです。ここに私の資格があります。」
IdPのボブ:「こんにちは、ビル。チェックアウトしたようです。」
IdPのボブ:「ジミーさん、このビルはチェックアウトしました。ここに彼に関する追加情報があります。あなたはここからやりたいことを何でもします。」
SPのジミー:「わかりました。ビルも私たちの既知のゲストのリストに含まれているようです。ビルに連絡します。」
ユーザーに課金:「ねえボブ。ジミーの家に行きたい。セキュリティはあそこにある」
IdPのボブ:「ジミーさん。私はビルを信頼しています。彼はチェックアウトします。ここに彼に関するいくつかの追加情報があります。あなたはここからやりたいことを何でもします。」
SPのジミー:「わかりました。ビルも私たちの既知のゲストのリストに含まれているようです。ビルに連絡します。」
ここではさらに詳しく説明しますが、物事をシンプルに保ちます。 ます https //jorgecolonconsulting.com/saml-sso-in-simple-terms/。