在没有 Web 服务器的情况下使用 SAML 响应 SSO

Question

我有一个使用Create-react-app开发的网络应用程序
我将它托管在 IIS 上，IIS 仅响应加载应用程序，上面没有 服务器端 逻辑（没有 Express 或任何其他 Web 服务器）
该应用在同一个 IIS 上使用 RESTful API，它超出了我的控制范围（我无法进行更改）。

现在我的一个客户请求将 SAML SSO 添加到我们的应用程序中。

我想知道：

1. 正常情况下，哪一个是Service Provider？我的 IIS Web 服务器？还是 API 服务？
2. 就我而言，我无法将 SAML 实现到 API 服务，我的 Web 服务仅用于加载我的应用程序而没有服务器端逻辑，我该如何实现 SAML？
3. 谁能给我一些 React 实现 SAML SSO 的教程或文章供参考？

感谢您的帮助，欢迎提供任何信息或建议！

Answer 1

正常情况下，哪一个是Service Provider？我的 IIS Web 服务器？还是 API 服务？

我假设客户想要使用他们的内部 IdP 对用户进行身份验证。所以你的应用是SP。但是您必须定义不同的令牌服务（详情如下）。

使用 SPA（单页应用程序）我发现了问题，在 SAML 中，用户被重定向或发布远离 SAML 请求和 SAML 响应。

我有一个登录页面来输入 id/pw，将它们发布到 API 服务器登录端点以进行身份​​验证并取回 JWT 令牌。之后我们在 API 调用中使用该令牌进行身份验证

API 服务使用基于提供的用户名/密码颁发的 JWT 令牌。我建议扩展令牌服务（或使用不同的服务）以根据提供的 SAML 响应发布 JWT 令牌 - 令牌交换服务。在许多 OAuth 实现中，它被称为 SAML 授权类型。

我无法将 SAML 实现到 API 服务，我的 Web 服务仅用于加载我的应用程序而没有服务器端逻辑，我该如何实现 SAML？

通常在身份验证之后，用户被重定向或发布到 SAML ACS 端点 URL，服务器可以在其中创建某种会话（cookie、参数、令牌等），并且用户被重定向到返回网页的 URL带有会话信息。

如果您使用的是 SPA，您可以使用带有重定向的弹出窗口或 SAML（而不是帖子），页面可以读取 SAML 响应参数（断言、签名、..）并在令牌交换中使用它们上面提到的服务。

在处理 SAML 响应时，请尝试使用一些成熟的、已知的、开箱即用的库，这是一项安全服务，如果使用不当可能会导致安全漏洞。但是您需要在服务器端执行此操作，因为最后您需要 API 使用的 JWT 令牌。