Sono a conoscenza di come viene utilizzato SAML per Single Sign-On (SSO). Cioè, reindirizzamento a IDP da SP e acquisizione dell'identità dell'utente dalla risposta / asserzione SAML.
La mia domanda è: la specifica SAML 2.0 definisce come passare il nome utente e la password come parte di un XML di richiesta SAML per l'autenticazione? Nota che non sto parlando di single sign on e voglio solo l'autenticazione di username / password.
SAML non supporta l'invio di nome utente e password al provider di identità dal fornitore di servizi. Esiste un AuthnRequest (richiesta di autenticazione) che può essere inviato dall'SP, che avvia una sessione nell'SP, e dice all'IdP, "hey, non so chi sia questo utente - autenticali, quindi rispondi a questa posizione, con l'identità dell'utente, e passami questo RelayState per farmi sapere con quale sessione associare l'utente. "
Ciò che stai chiedendo (un fornitore di servizi che passa un nome utente / password direttamente al provider di identità e recupera un'affermazione) è una funzione di un STS o servizio token di sicurezza. Un'implementazione STS molto comune è WS-Trust , che comunemente "avvolge" un token di Asserzione SAML nella risposta.
Leggi altre domande sui tag authentication saml