我正在为一项服务工作,该服务使用SAML SSO协议提供身份验证服务以确保通信安全。
简要介绍:SAML SSO识别身份提供者(IP或IDP)和服务提供者,其“信任”和委托用户身份验证给IDP。以下是建立信任的方式: 1. 服务提供商(SP): - 可信IDP名称和证书 - 单点登录(SSO)URL 2. 身份提供者(IDP): - 依赖SP名称和证书 - SSO消费者URL 每当SP需要验证用户时,它会将SAMLRequest重定向到SSO端点,并通过查询字符串或表单字段(GET或POST方法)传递它。
我想知道的是,需要身份验证的客户端是否必须通过“https”协议发送请求,或者请求是否也可以通过http渠道中继。我的问题是SAML协议是否强制我们使用https。
简要介绍:SAML SSO识别身份提供者(IP或IDP)和服务提供者,其“信任”和委托用户身份验证给IDP。以下是建立信任的方式: 1. 服务提供商(SP): - 可信IDP名称和证书 - 单点登录(SSO)URL 2. 身份提供者(IDP): - 依赖SP名称和证书 - SSO消费者URL 每当SP需要验证用户时,它会将SAMLRequest重定向到SSO端点,并通过查询字符串或表单字段(GET或POST方法)传递它。
我想知道的是,需要身份验证的客户端是否必须通过“https”协议发送请求,或者请求是否也可以通过http渠道中继。我的问题是SAML协议是否强制我们使用https。