Ven*_*gan 18 saml single-sign-on
我正在实现一个使用Okta作为身份提供者的SAML 2.0服务提供者.我想配置断言使用者服务(ACS)URL,以便我的服务提供者应用程序中的SAML 2.0反映在断言中.
但是,我注意到Okta身份提供程序改为发送在Okta配置中配置的SSO端点,并忽略实际发送的ACS.此外,我得到一个错误,也许SP的ACS与那里的元数据不匹配.
如果ACS URL不是向IDP发送短ID以使其反映在断言中的正确方法,则可以使用其他机制来实现此目的.
例:
SP应用程序发送的SAML 2.0 SAMLRequest是:
assertion_consumer_service_url:https://host.com:port/saml/consume?ENTITYID = N&MYNAME =用户名
Identity Provider上的配置具有元数据:
单点登录URL:https://host.com:port/saml/consume?entityId = N
请注意,myName从一个请求更改为下一个请求,因为这是我们验证响应的name_id与发送的原始用户名相匹配的方式.
此外,如果服务提供商有办法让身份提供商断言SP管理的名称(例如用户名),那么这对我们的需求就可以了.如何指定这个?
谢谢
And*_*bel 13
在SAML中,假定ACS对于SP是静态的.要将响应与原始AuthnRequest相关联,您应该保存传出的AuthnRequest的ID,然后使用InResponseTo收到的响应.
SP可以向AuthnRequest添加主题,告诉IdP您要通过哪个用户名进行身份验证.它在SAML2核心规范的 3.4.1节中定义.
| 归档时间: |
|
| 查看次数: |
54952 次 |
| 最近记录: |