我正在实现一个使用Okta作为身份提供者的SAML 2.0服务提供者.我想配置断言使用者服务(ACS)URL,以便我的服务提供者应用程序中的SAML 2.0反映在断言中.
但是,我注意到Okta身份提供程序改为发送在Okta配置中配置的SSO端点,并忽略实际发送的ACS.此外,我得到一个错误,也许SP的ACS与那里的元数据不匹配.
如果ACS URL不是向IDP发送短ID以使其反映在断言中的正确方法,则可以使用其他机制来实现此目的.
例:
SP应用程序发送的SAML 2.0 SAMLRequest是:
assertion_consumer_service_url:https://host.com:port/saml/consume?ENTITYID = N&MYNAME =用户名
Identity Provider上的配置具有元数据:
单点登录URL:https://host.com:port/saml/consume?entityId = N
请注意,myName从一个请求更改为下一个请求,因为这是我们验证响应的name_id与发送的原始用户名相匹配的方式.
此外,如果服务提供商有办法让身份提供商断言SP管理的名称(例如用户名),那么这对我们的需求就可以了.如何指定这个?
谢谢