-2
方法1
ブラウザはサービスプロバイダーに向けられています。サービスプロバイダはクッキーセットがあるかどうかをチェックし、そうでない場合はブラウザをアイデンティティプロバイダにリダイレクトし、アイデンティティプロバイダ(IdP)がユーザを検証してIDをサービスプロバイダ(SP)にリダイレクトします。 SPはそのIDをブラウザのセッションクッキーとして設定し、ユーザーをサービスにリダイレクトします。次回は、ユーザが同じセッションで再度サービスを要求すると、SPはクッキーをチェックし、直接サービスにリダイレクトします。
方法2
ブラウザはサービスプロバイダーに向けられています。サービスプロバイダはIdPにリダイレクトします。 IdPはCookieをチェックし、Cookieが存在しない場合、IdPはブラウザでユーザーとセッションCookieを認証します。肯定応答をSPにリダイレクトします。 SPはユーザーをサービスにリダイレクトします。次回ユーザがセッション内でサービスを要求すると、ブラウザはサービスプロバイダに転送されます。サービスプロバイダはIdP.IdPにリダイレクトしてCookieをチェックし、存在する場合はSPに肯定応答を送信します。これらの2つの方法のどちらがSAMLアーキテクチャに適していますか
:Cookieが使用されていない場合は、ユーザーを認証するために何が使用されますか? HTTPはステートレスなプロトコルの権利ですか?誰がユーザー認証トークンを追跡しますか? – suraj
あなたのアプリは認証されたユーザーを思い出すためにCookieを使用できますが、SAMLの仕組みとは異なります。アイデンティティプロバイダ(実際に誰が誰かを知っている他のサーバ)は、SAML XMLをPOSTまたはSOAPを通じて送信します。あなたのアプリケーション(ソースプロバイダ)は、Cookieを使ってユーザのセッションを維持することができます。 –