谁能给我解释一下SP之间的主要区别发起SSO和IDP发起的SSO是，包括这将是与ADFS + OpenAM联合会一起上实现单点登录的更好的解决方案？

在IDP初始化SSO（不请自来的Web SSO）本联合会过程由IDP发送未经请求的SAML响应给SP启动。 在SP-INIT，SP产生被发送到IDP作为联邦过程中的第一步骤和IDP然后用SAML响应来响应一个AuthnRequest。 对于SAML2.0的Web SSO SP-初始化恕我直言ADFSv2支持比其IDP起始支持再强：与第三方美联储产品（主要是周围的RelayState支持旋转）的集成，所以如果你有你想要使用一个选择SP-初始化，因为它可能会令生活更轻松ADFSv2。

这里是从的PingFederate 8.0一些简单的SSO说明入门指南，你可以通过捅可以很好的帮助- https://documentation.pingidentity.com/pingfederate/pf80/index.shtml#gettingStartedGuide/task/idpInitiatedSsoPOST.html

IDP发起SSO

从文件的PingFederate - https://docs.pingidentity.com/bundle/pf_sm_supportedStandards_pf82/page/task/idpInitiatedSsoPOST.html

在这种情况下，用户登录到IDP和尝试远程SP访问服务器上的资源。 SAML声明被输送到通过HTTP POST的SP。

处理步骤：

1. 用户已登录到IdP进行。
2. 用户请求访问受保护的资源SP。 用户没有登录到SP的网站。
3. 任选地，所述的IdP检索从用户数据存储区的属性。
4. 对IDP的SSO服务返回的HTML表单与含有认证断言和任何附加属性的SAML响应浏览器。 浏览器自动过账的HTML表单回SP。

SP发起的SSO

从文件的PingFederate - http://documentation.pingidentity.com/display/PF610/SP-Initiated+SSO--POST-POST

在这种情况下用户试图直接在SP网站访问受保护资源不被登录。 该用户没有对SP网站的帐户，但确实有一个第三方的IdP管理的联合帐户。 所述SP发送认证请求的IdP。 请求和返回的SAML断言通过通过HTTP POST用户的浏览器发送。

处理步骤：

1. 用户请求访问受保护的资源SP。 该请求被重定向到联合服务器来处理身份验证。
2. 联合服务器发送的HTML表单回与从IDP认证SAML请求的浏览器。 该HTML表单自动发布到的IdP的SSO服务。
3. 如果用户没有登录到IdP进行现场或是否需要重新认证中，IDP询问证书（例如，ID和密码），用户登录。

4. 关于用户的附加信息可以从用户数据存储中检索包含在SAML响应。 （这些属性预先确定为IDP和SP之间的联合协议的一部分）

5. 对IDP的SSO服务返回的HTML表单与含有认证断言和任何附加属性的SAML响应浏览器。 浏览器自动过账的HTML表单回SP。 注：SAML规范要求POST响应进行数字签名。

6. （未显示），如果签名和断言是有效的，则SP为用户建立一个会话并将浏览器重定向到目标资源。

SP发起的SSO

比尔用户​​：“嘿，吉米，让我看到报告”

吉米SP：“嘿，我不知道你是谁，但在这里，我们有一个过程，让你去让自己与Bob IdP进行第一核实我信任他。”

鲍勃国际开发署“我看到吉米给你发在这里，请给我您的凭据。”

比尔用户​​：“你好，我叫比尔这里是我的证件。”

鲍勃国际开发署“嗨，比尔看起来你看看。”

鲍勃国际开发署“嘿，吉米这家伙比尔检查出来，这里有一些关于他的信息，你做你从这里想要的。”

吉米SP：“好的，炫酷的外观像比尔也是我们知道客人的名单我会告诉比尔。”

的IdP发起的SSO

比尔用户​​：“嘿鲍勃我想去吉米的地方安全是那边紧。”

鲍勃国际开发署“嘿，吉米，我相信比尔他检查出来，这里有关于他的一切，你从这里要你做一些额外的信息。”

吉米SP：“好的，炫酷的外观像比尔也是我们知道客人的名单我会告诉比尔。”