1.2. 如何使用单点登录进行 SAML v2 工作

对 SP 的主要 HTTP 请求.

主体首先尝试使用 HTTP 用户代理（如浏览器）在 SP 访问受保护的资源。如果主体已签发了具有有效安全性上下文的 SAML 令牌，SP 将允许或拒绝主体。这是最后一步。否则，SP 将尝试查找用于身份验证请求的 IDP。

SP 确定 IDP.

SP 查找支持 SP 的首选绑定的 IDP 及其端点。这允许 SP 向 IDP 发送身份验证请求。此过程的具体方式可能因实施而异。

使用主体从 SP 向 IDP 发出身份验证请求.

SP 确定 IDP 位置和端点后，SP 以 <AuthnRequest> 消息的形式发出身份验证请求，该消息将由用户代理向 IDP 主体发送。HTTP 重定向、HTTP POST 或 HTTP 工件 SAML 绑定可用于使用用户代理将消息传输到 IDP。

IDP 标识主体.

身份验证请求通过主体发送到 IDP 后，主体将由 IDP 标识。识别方法不是通过 Web 浏览器单点配置文件具体定义，可以通过多种方式完成，例如使用 FORM 进行身份验证，使用现有的 会话信息、kerberos 身份验证等。

IDP 问题响应 SP.

确定了主体后，IDP 以 <Response> 信息的形式发出一个响应，以返回 SP，以便使用用户代理授予或拒绝主体访问。此消息将至少包含一个身份验证断言，也可用于指示错误。HTTP POST 或 HTTP 工件可用于传输此消息，但由于大多数用户代理的 URL 长度限制而无法使用 HTTP 重定向。如果用户代理发起基于 IDP 的流（例如，尝试直接访问 IDP 而不是 SP），则此过程从这一步开始。如果成功，HTTP POST 或 HTTP Artifact 将发送到一个位置，该位置在 IDP 中预先配置。

SP 允许或拒绝访问主体.

SP 收到 Response 后，可以通过创建安全上下文或拒绝访问或执行自己的错误处理，向主体授予所请求资源的访问权限。

由会话参与者发布到 IDP 的注销.

会议参与者，如服务提供商或其他依赖方，终止其自身与主体的会话，并以 <LogoutRequest> 信息的形式向 IDP 发送一个最初为主体发布安全断言的 IDP。此请求可以直接在 IDP 和依赖方之间发送，或者通过使用主体的用户代理作为传递间接发送。

IDP 标识会话参与者.

旦 IDP 收到注销请求，它将使用该请求来确定哪些会话要终止依赖方，包括作为会话授权或会话参与者 IDP 拥有的任何会话。对于每个会话，IDP 向依赖方发出注销请求，并等待来自双方的注销响应，然后再向原始会话参与者发出新的注销响应。如果在 IDP 上启动全局 Logout Profile 流，则流程从此步骤开始，其他一些机制则用于确定会话和 SP。

IDP 发布的注销.

在 IDP 确定所有会话和相关的依赖方后，它会以 <LogoutRequest> 信息的形式向每个依赖方发送 Logout 请求，并等待 Logout Response。这些请求可以在 IDP 和依赖方之间直接发送，或者间接通过主体的用户代理发送。

注销会议参与者或授权机构发出的回复.

每个依赖方（包括 IDP 本身）会尝试根据 Logout Request 中的 IDP 指示终止会话，并以 <LogoutResponse> 消息的形式返回 Logout Response，返回 IDP。与注销请求一样，可以将响应直接在依赖方和 IDP 之间发出，或者间接通过主体的用户代理发出。

IDP 发布对原始会话参与者的注销响应.

从依赖方收到所有注销响应后，IDP 会以 <LogoutResponse> 信息的形式发送一个新的注销响应，返回请求注销的原始会话参与者。如同此流程的其他部分一样，此响应可直接在 IDP 和会话参与者之间传递，或者间接通过主体的用户代理进行传递。如果在 IDP 上发起 Logout Request，则省略这一步。