2.2 SAML 的 Redirect/POST Bindings 方式 ( 即 IDP 推方式 )
該方式的主要特點是, IDP 交給 Subject 的不是憑證,而是斷言。
過程如下圖所示:
1,Subject 訪問 SP 的授權服務, SP 重定向 Subject 到 IDP 獲取斷言。
2,IDP 會要求 Subject 提供能夠證明它自己身份的手段 (Password , X.509 證書等 )
3,Subject 向 IDP 提供了自己的帳號密碼。
4,IDP 驗證密碼之后,會重訂向 Subject 到原來的 SP 。
5,SP 校驗 IDP 的斷言 ( 注意, IDP 會對自己的斷言簽名, SP 信任 IDP 的證書,因此,通過校驗簽名,能夠確信從 Subject 過來的斷言確實來自 IDP 的斷言 ) 。
6,如果簽名正確, SP 將向 Subject 提供該服務。
ok。