SimpleSAMLphp SP是否需要与IdP通信？

Question

我在一段时间里徘徊文档和几页，但我无法找到答案。问题很简单：

我可以在本地网络中托管IdP（IdP不可从外部使用），而SP通过互联网可用吗？

• 如果我在本地设置IdP和SP，一切都很好。
• 如果我在公共服务器上设置IdP/SP，一切都很好。
• 如果我在本地设置了Idp，并且在公共服务器上的SP结果为NOSTATE错误。

我知道想要使用只在特定网络上可用的IdP的SP没有太大意义。问题是我必须处理这种情况。 ;）

当我通过apache访问日志分析工作流时，我没有看到SP和IdP之间的直接通信。似乎一切都是由用户浏览器自己处理的。为此我想这应该是可能的？

如果它应该是可能的，我只需要修复我的NOSTATE错误。如果这是不可能的，NOSTATE错误只是误导，我不能解决这个问题。

任何想法或经验？

Answer 1

SAML支持前端通道绑定（您正在查找的内容）以及SP需要直接与IdP通信的后端通道绑定。我见过的绝大部分部署都使用前台频道，所有事情都是通过用户的浏览器完成的。

至于你的情况，是的，这是可能的。我们经常在测试中使用它。我见过企业只有在其本地网络中才有他们的IdP，但员工仍然可以访问外部的SaaS服务 - 所以您的情况确实合理并且很常见。

至于您的问题（根据docs），NOSTATE通常是由域名更改，https重定向http以及存储会话的任何问题引起的 - 例如，在负载均衡设置中，您遇到不同服务器分享会议。

我会开始在Firefox中安装SAML Tracer，然后查看IdP上发生了什么重定向，并查看主机名，端口等是否更改。