我们正在使用 PingFederate 进行 SSO,并且是由 SP 发起的。并且 Ping Federate 将像 Idp 一样行事。对于应用程序,有 2 个网络服务器(用于高可用性
我的问题是 1. 是否可以提供两个默认的url(在控制台中默认只能设置一个url。这种情况下我们可以提供两个逗号分隔的url)。
谢谢!
【问题讨论】:
标签: saml pingfederate
正如您在 PingFederate 管理控制台中所述,您可以指定多个 ACS URL,但只有一个是默认 URL。每个 ACS URL 都分配有一个索引号。
使用 IdP 发起的 SSO,如果未提供 ACSIdx 查询参数,则默认 ACS URL 将用于发送 SAML 断言。此查询参数指定要使用的 ACS URL。使用该参数时,它会将 SAML 断言发送到与索引关联的 ACS URL,如 PingFederate 管理控制台中所示。
使用 SP 发起的 SSO,如果服务提供商应用程序发送签名的 AuthnRequest,则 ACS URL 可以是动态的。根据 SAML 规范,SP 发起的 SSO 可以发送一个 ACS URL,身份提供者(在本例中为 PingFederate IdP)将使用该 URL 来传输 SAML 断言。因此,请求服务器指定如何在 AuthnRequest 被 PingFederate IdP 服务器签名和信任的情况下返回给自己。
【讨论】:
我认为您希望在 SP 元数据中发布断言消费者服务 URL,因为它特定于服务提供商。
对于 SP 支持的特定绑定,您可以拥有唯一或相同的 ACS 端点,并且端点必须了解 IdP 对绑定的响应。 ACS 端点也可以被索引,任何一个都可以在元数据中设置为默认值。示例:
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sts.contoso.com/adfs/ls/" index="0" isDefault="true" />
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://sts.contoso.com/adfs/ls/" index="1" />
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sts.contoso.com/adfs/ls/" index="2" />
只要 IdP 可以从外部访问 SP 服务器,您就可以使用负载均衡器 URL。
【讨论】: