SSO 和 SAML 2.0 用于通配符域答案

【问题标题】：SSO with SAML 2.0 for wildcard domainSSO 和 SAML 2.0 用于通配符域
【发布时间】：2016-10-07 14:53:17
【问题描述】：

我正在为 ADFS 2.0 的“依赖方信任”和“声明提供者信任”手动编写联合元数据 XML 这可能是一个基本的例子......

<?xml version="1.0" encoding="utf-8"?>
<EntityDescriptor ID="_271f377f-78d8-4133-8c46-a73c4936bb1f" entityID="https://example.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
  <RoleDescriptor xsi:type="fed:ApplicationServiceType" xmlns:fed="http://docs.oasis-open.org/wsfed/federation/200706" protocolSupportEnumeration="http://docs.oasis-open.org/wsfed/federation/200706" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <fed:TargetScopes>
      <wsa:EndpointReference xmlns:wsa="http://www.w3.org/2005/08/addressing">
        <wsa:Address>https://example.com/</wsa:Address>
      </wsa:EndpointReference>
    </fed:TargetScopes>
    <fed:PassiveRequestorEndpoint>
      <wsa:EndpointReference xmlns:wsa="http://www.w3.org/2005/08/addressing">
        <wsa:Address>https://example.com/</wsa:Address>
      </wsa:EndpointReference>
    </fed:PassiveRequestorEndpoint>
  </RoleDescriptor>
</EntityDescriptor>

有一些方法可以使用通配符域之类的东西来验证我的所有环境（开发、集成、预生产、生产......）

例如...

<EntityDescriptor ID="_271f377f-78d8-4133-8c46-a73c4936bb1f" entityID="https://*.example.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata">
        <wsa:Address>https://*.example.com/</wsa:Address>

到马赫..

https://des.example.com/

https://int.example.com/

https://pre.example.com/

https://pro.example.com/

我已经阅读了What to present at SAML EntityID URL?，但以防万一。

【问题讨论】：

标签： single-sign-on saml saml-2.0

【解决方案1】：

您不能在 EntityID 中使用通配符有几个原因

“*”允许在 URI 中使用 1、2，但不能用作通配符，因此这不会产生您正在寻找的效果
每个实体（由它的 EntityID 标识）都应该有自己的端点，以便其他 SAML 实体现在可以将浏览器重定向到哪里或向哪里发出反向通道请求和/或它应该在哪里侦听请求。

您可以简单地复制 EntityDescriptor 并更改每个环境的值

【讨论】：