JA T3 Framework

Fast. Flexible. Powerful

Kontakt

Scoping

WAYF understøtter at SP'er kan specificere i en loginforespørgsel hvilken IdP/institution forespørgslen skal sendes til — sådan at brugeren ikke får vist WAYFs institutionsliste, men fra tjenesten straks sendes videre til institutionens loginside. Kun ret få tredjepartsimplementeringer af SAML2-SP understøtter afsendelse af den slags login-requests, bl.a. SimpleSAMLphp og CORTO. Specifikationen af den ønskede login-IdP har form af elementet samlp:Scoping indføjet som sidste element i samlp:AuthnRequest'et:

	.
	.
    <samlp:Scoping>
        <samlp:IDPList>
            <samlp:IDPEntry ProviderID="https://entityID-of-preferred-IdP" />
        </samlp:IDPList>
    </samlp:Scoping>
</samlp:AuthnRequest>

Når WAYF fra en tjeneste modtager et login-request som slutter som vist herover, vil brugeren altså ikke se institutionslisten, men med det samme blive sendt hen til loginsiden for den institution som i WAYFs metadataregister er registreret med forbindelses-ID'et (entityID'et) https://entityID-of-preferred-IdP. Forbindelses-ID'erne for WAYFs institutioner -- altså de mulige værdier for ProviderID i eksemplet herover -- kan ses her, i JSON-format.

Hvis man selv implementerer sin SAML2-SP, kan man naturligvis nemt snedkerere login-requests med scoping hvis man har behov for det. Men hvis man er afhængig af tredjepartsimplementeringer, kan det være vanskeligt få sin SP til at afsende scope'ede requests.

WAYF – Where Are You From
Asmussens Allé, bygning 305
2800 Kgs. Lyngby

www.wayf.dk
sekretariat@wayf.dk

line
You are here