【发布时间】:2015-02-19 21:13:18
【问题描述】:
我可以在服务器日志中看到 SAML 请求和响应。 在 SP 发起的 SSO 中,我可以在 SP 服务器日志中看到 saml 身份验证请求。以及 IDP 服务器日志中的 SAML 断言响应。
我如何知道 ID 生成的 SAML Assertion 是否被 SP 接收?有什么方法可以检查 SP 端的那个吗?如果有,请告诉我。
谢谢, 阿斯维尼J
【问题讨论】:
标签: saml saml-2.0 pingfederate
【发布时间】:2015-02-19 21:13:18
【问题描述】:
在 PF server.log 中记录的 AuthnRequest 中有一个请求 ID。如果您在 SP(在本例中为 PF)收到作为您的 SP-Init SSO 的结果的 SAMLResponse,并且它包含 InResponseTo 属性/ID,它必须匹配由生成的请求 ID符合 SAML 2.0 规范的服务器。
PF 将自动执行 SAML 2.0 处理规则,因此您无需担心。如果 SAMLResponse 成功验证,您可以配置 PF 以将用户的身份属性映射到 SP 适配器,这将帮助您在应用程序中进行最后一英里集成。
我建议跟进您的 Ping Identity RSA,他们可以帮助您回答其中一些核心功能问题。
【讨论】:
-
感谢您的投入,伊恩。我可以在我的服务提供者服务器日志中看到身份验证请求(请求由 SP 发送)和身份提供者服务器日志中的 SAML 断言响应。(响应由 IDP 发送)。我在不同的系统上配置了 IDP 和 SP。是这样吗?
-
在大多数情况下,IDP 和 SP 是否在不同的系统上并不重要(对于 PingFederate)。 PF 在两种设置(IDP 和 SP 组合或分离)中都非常有效。在生产环境中,这将取决于您的用例、扩展需求等以及您将如何部署。