第 3 章 身份提供程序集成系统默认设置

SSO 发起类型

红帽身份系统(sso.redhat.com)支持服务供应商发起的单点登录。我们不支持 IdP 启动的单点登录，不要计划添加。

SSO 绑定

仅允许 POST 用于新的 IdP。

名称 ID

红帽需要一个允许永久识别验证用户的 ID。然而，客户取决于他们想要使用的标识符。常用的 ID 是 UUID、电子邮件地址、用户名等。

其他必要的属性

我们不需要提供任何其他属性来验证用户。

ACS URL

这在客户完成 IdP 初始设置后，由 Identity Provider Integration 工具提供。我们还将提供一个指向我们的 SAML 元数据 URL 的链接，如果用户选择，则可以与其绑定（这将允许他们深入查看配置的 IdP）。

断言签名

我们需要集成客户为断言签名。我们需要在 IdP 配置期间提供有效的 x509 证书，用于验证断言签名。

响应/评估加密

当前未强制加密，但只要提供了有效的 x509，我们可以解密响应/评估。

签名 AuthN 请求

红帽签署 AuthN 请求。我们鼓励集成方验证此签名。我们用来执行此操作的关键将可以在我们提供的 SAML 元数据中发现（上面提到，创建 IdP 后将出现此密钥）。

联邦退出登录

红帽目前不支持任何联邦注销选项。如果用户是红帽的服务或应用的"注销"，则会导致用户登录红帽以及您公司的 SSO。