Umfang des Dienstleisters service-provoider-scoping
Übersicht overview
Die Standardimplementierung einer Adobe Pass-Authentifizierungsintegration mit einem MVPD basiert auf der OLCA-Spezifikation. Im Abschnitt Authentifizierungsanforderungen der OLCA-Spezifikation (6.5, Subject Identifier) wird angegeben, dass der Umfang des Service Providers (SP) für die Subject Identifier angegeben werden kann. (Die Betreffkennung ist die verschleierte Benutzer-ID, die der MVPD an die SP zurückgibt.) In einer Adobe Pass-Authentifizierungsintegration ist es erforderlich, dass MVPDs das Scoping der SP-Authentifizierungsanforderungen aktivieren.
Da die Adobe Pass-Authentifizierung die Rolle von SP für den Programmierer übernimmt, ist es erforderlich, eine Anpassung zu implementieren, die das SP-Scoping der Authentifizierungsanforderung ermöglicht. Dies muss geschehen, damit der MVPD die Netzwerkmarke identifizieren kann, die in der SAML-Assertion an den Identitäts-Provider (IdP) des MVPD übergeben wurde. Scoping kann auf eine der beiden im nächsten Abschnitt beschriebenen Arten implementiert werden.
Umfang des Dienstleisters service-provider-scoping
Die Adobe Pass-Authentifizierung unterstützt die folgenden beiden Möglichkeiten, das SP-Scoping von Authentifizierungsanforderungen zu aktivieren:
-
Der SAML-Ausstelleransatz. Bei diesem Ansatz wird die "Anforderer-ID"in der SAML-Authentifizierungsanforderung an die SAML-Ausstellerzeichenfolge angehängt.
-
Der benutzerdefinierte Scoping-Eigenschaftsansatz. Bei diesem Ansatz ist die "Anforderer-ID"explizit als benutzerdefinierte Eigenschaft "Scoping"in der SAML-Authentifizierungsanforderung enthalten.
SAML-Ausstellungsansatz saml-issuer-approach
Bei diesem Ansatz wird das SAML <Issuer>
-Element in der SAML-Authentifizierungsanforderung verwendet, wie in diesem Snippet gezeigt:
...
<saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
http://saml.sp.adobe.adobe.com/on-behalf-of/requestorID
</saml:Issuer>
...
Eigene Scoping-Eigenschaftsansatz custom-scoping-property-approach
Dieser Ansatz verwendet eine benutzerdefinierte Eigenschaft mit dem Namen "Scoping", wie in diesem Ausschnitt einer SAML-Authentifizierungsanforderung dargestellt:
...
<samlp:Scoping xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<samlp:RequesterID xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">requestorID</samlp:RequesterID>
</samlp:Scoping>
...