Court-circuiter le service de découverte

Dans certains cas, il peut être utile de court-circuiter le service de découverte pour l'accès à une ressource. Exemple : l'utilisateur se connecte sur le portail de son établissement, puis accède à un périodique électronique extérieur. Ce fournisseur de services l'oriente vers un service de découverte. L'utilisateur considère cette phase comme redondante, puisqu'il a suivi un lien depuis le site de son établissement.

Les solutions techniques à ce problème consistent toutes à proposer dans le portail de l'établissement un lien particulier qui évitera le passage par le service de découverte.

Unsolicited SSO

Cette solution consiste à inverse la cinématique de connexion habituelle, en s'adressant à l'IdP pour lui réclamer au authentification pour un service spécifique, au lieu de laisser celui-ci formuler la demande d'authentification.

Avec un IdP Shibboleth, ce mécanisme consiste à utiliser le point s'accès SAML /idp/profile/SAML2/Unsolicited/SSO avec les bons paramètres. Pour plus de détails, se référer à la documentation upstream.

Passage explicite de l'IdP

Un service de découverte n'est jamais qu'un moyen de passer le paramètre entityID correspondant à l'IdP à utiliser au point d'accès SAML d'un SP. Si celui-ci est connu à l'avance, il suffit de le passer explicitement.

Par exemple, avec un SP Shibboleth dont le point d'accès pour l'authentification est /Shibboleth.sso/Login, ce lien force l'utilisation de l'IdP du GIP RENATER: https://service.renater.fr/Shibboleth.sso/Login?entityID=https://idp.renater.fr/idp/shibboleth