在 Okta 中,我们能够在应用程序 UI 中为 SSO、收件人和目标 URL 指定不同的 URL,如下所示:
我们有一个自定义 URL,需要将 SAML 断言发送到与接收者 URL 不同的位置。收件人 URL 必须是通过目标 URL 通过代理后最终到达的 URL。这适用于 Okta 设置,但我们无法确定这些值应该放在某些 IDP 设置所需的 SP SAML 元数据 XML 中的位置(与 Okta 等应用程序 UI 相比)。在 SAML 元数据中是否有我们可以指定这些 URL 的位置,如果有,它们会去哪里?我无法在 SAML 2.0 规范中找到有关 SP SAML 元数据的那些 URL 的任何内容。
【问题讨论】:
标签: xml single-sign-on metadata saml-2.0 service-provider
如果我理解正确,您在 SP 和 IdP 之间有一个代理。并且您希望您的 SP 元数据 XML 指定代理的 URL。这可以通过Assertion Consumer Service URL(ACS URL)来实现,例如:
<?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
validUntil="2022-04-29T14:36:36Z"
cacheDuration="PT604800S"
entityID="http://sp.example.com/saml">
<md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="http://proxy.example.com/saml"
index="1" />
</md:SPSSODescriptor>
</md:EntityDescriptor>
在上面的 sn-p 中,md:AssertionConsumerService 元素的 Location 属性指定 ACS URL,它是代理 URL。它与md:EntityDescriptor 元素的entityID 属性中指定的SP 的URL 不同。
【讨论】: