【问题标题】:IdP and SP per Tenant in WSO2 identity Server using SAML Web SSO使用 SAML Web SSO 的 WSO2 身份服务器中每个租户的 IdP 和 SP
【发布时间】:2018-11-30 12:48:49
【问题描述】:

我现在正在设置 WSO2 身份服务器。第一步是在超级租户中使用常驻身份提供者,并将服务提供者设置为 SaaS 应用程序。到目前为止,这工作得很好。

它的坏处是 (1) 用户需要通过使用 username@tenantdomain 模式识别自己来登录。下一个不好的事情是,(2)我们不能为每个租户配置登录策略或帐户管理策略。我们只能全局处理。

出于测试原因,我们修改了authenticationendpoint 应用程序以在登录时动态注入租户域(通过分析relyingParty 参数)。到目前为止这有效,但第 (2) 点仍然存在。

下一步是为每个租户配置 IdP 和 SP。据我了解,这是摆脱第 (1) 和 (2) 点的方法。

那是我完全陷入困境的地方。碳日志只提到我们需要提前注册SP。上周我正在阅读各种帖子、jiras 问题和博客条目,但我仍然没有有效的解决方案。在我看来,即使我配置了租户常驻 IdP 并相应地交换了元数据,IS 仍然认为我们正在尝试与超级租户常驻 IdP 进行通信。

我们使用的 SP 是使用 SimpleSAMLphp 创建的。

也许我误解了在 WSO2 IS 中为每个租户设置 IdP/SP 的原则?也许我以错误的方式处理居民 IdP?

欢迎任何帮助/建议。

【问题讨论】:

    标签: wso2 wso2is simplesamlphp


    【解决方案1】:

    尽管这个问题很老,但the documentation 的以下部分将帮助任何寻找答案的人。

    从 WSO2 Identity Server 5.0.0 开始,有不同的 SAML 每个租户的端点。如果服务提供者调用身份 提供者的 SAML 端点 URL 为 https://is.com:9443/samlsso?tenantDomain=foo.com 或发行人名称是 附加@<TenantDomain>,如travelocity.com@foo.com,SAML 请求被定向到 foo.com 租户。

    另外,请注意,当对租户使用 SAML SSO 时(使用上述任一方法),SAML 响应会使用特定租户的私钥进行签名。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2018-03-02
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多