Обработка пользовательских данных в SP с проверкой подлинности SAML

Я только начинаю работать с SAML. Насколько я знаю, на этапе аутентификации нет прямой связи между IdP и SP, и утверждение происходит через браузер.

В моих приложениях (которые будут SP) я хотел бы хранить некоторые пользовательские данные (например, размер страницы, другие настройки пользовательского интерфейса). Когда пользователь удаляется из IdP, я хотел бы также удалить эти данные из своего приложения? Можно ли получить это «событие» от IdP к SP для таких задач?

PS. Мое приложение основано на PHP, и я, скорее всего, использую simplesamlphp.

Спасибо, ~притам


saml-2.0 simplesamlphp
person preetham    schedule 02.04.2015    source источник

Ответы (1)


arrow_upward
2
arrow_downward

В спецификации SAML 2.0 нет поддержки того, чтобы поставщик удостоверений обращался к поставщику услуг для события, связанные с инициализацией или деактивацией пользователя.

Однако существует протокол SAML под названием SubjectQuery и запрос под названием NameIDMappingRequest, который может служить цели, если у вас есть ночное пакетное задание или что-то, что будет опрашивать пользователей, которые не вошли в систему в течение x дней, чтобы узнать, существуют ли они все еще в Idp. .

Подробную информацию об этом можно найти в Профили Раздел спецификации SAML, но я не знаю, какая поддержка (если есть) у simplesamlphp для этих профилей.

person explunit    schedule 02.04.2015
comment
Спасибо, я думаю, этот подход сработает для меня. В любом случае, SP может передать эти данные IdP, поэтому они удаляются, когда пользователь удаляется из IdP (я разумно уверен, что это невозможно сделать, но хотел бы подтвердить) - person preetham; 03.04.2015