使用SAML进行SSO联合元数据交换

Question

我们即将整合我们的JAVA应用程序与SSO联合。我们将以SAML2声明格式获取元数据，并且所有会话跟踪都由SSO联合会处理。 我不清楚在我们的JAVA应用程序中，每次请求如何进行会话跟踪。我们的主页面URL是在SSO联合中配置的，在用户点击后，链接控件进入我们的应用程序。因此，如果我导航到除配置之外的其他网址，联合会如何跟踪会话？我们是否需要为每个请求传递任何元数据？ 我们被要求共享主页URL和证书信息，并且SSO联合会将其配置在其门户中。

Answer 1

Java应用程序服务器通常使用'JSESSIONID'cookie跟踪用户会话。一旦由IDP（比如ADFS）生成的SAML断言已由SP（此处的Java应用程序）验证，则会创建一个由JSESSIONID标识的安全上下文/会话。浏览器发送带seubsquest请求的JSESSIONID cookie，应用程序验证它并为请求的资源/ URL提供服务。