AttributePushPull
(Attribute Push szócikkből átirányítva)
Egy IdP és egy SP között az attribútumok átadása push és pull modell szerint történhet.
Attribute Pull
Attribute Pull esetén a folyamat az alábbi:
- IdP azonosítja a felhasználót (ill. feldolgozza az autentikációs kérést)
- IdP autentikációs igazolást állít ki és elküldi az SP-nek
- SP attribútum kérést (AttributeRequest) küld az IdP-nek
- IdP attribútum igazolást állít ki, mely a felhasználó attribútumait tartalmazza, majd ezt visszaküldi az SP-nek
Attribute Push
Attribute Push használata esetén az IdP által küldött első válaszba beágyazva szerepelnek az attribútumok, ezért az SP részéről nincs szükség további kérésekre, a folyamat tehát a következő módon zajlik:
- IdP azonosítja a felhasználót (ill. feldolgozza az autentikációs kérést)
- IdP autentikációs és attribútum igazolást állít ki és ezeket egyetlen válaszként elküldi az SP-nek
Alkalmazási terület
Shibboleth esetén Browser/POST profil használata esetén a pull modell, míg Browser/Artifact profil esetén a push modell az alapértelmezett, ám ez felülbírálható.
Bizonyos föderációs megvalósítások (pl. a SimpleSAMLphp) csak a push modellt támogatják, mivel ennek implementációja egyszerűbb.
Megjegyzés
Nagyméretű attribútumok használata esetén a válasz mérete is elég nagy lehet, ezért ez POST profil esetén esetleg kényelmetlenséget (lassú működést) okozhat. |