SAML 2. 0: como configurar o URL do serviço ao consumidor de Assertion
estou a implementar um fornecedor de Serviços SAML 2.0 que usa a Okta como Fornecedor de identidade. Eu gostaria de configurar o URL Assertion Consumer Service (ACS) para que o SAML 2.0 do meu aplicativo provedor de serviços seja refletido de volta na afirmação.
Entretanto, Eu estou notando que o Provedor de identidade Okta em vez disso envia o Endpoint SSO configurado na configuração Okta e ignora o ACS que foi realmente enviado. Além disso, tenho um erro, talvez o ACS da SP não corresponda ao meta-dados ali.
Se a URL ACS não for a maneira certa de enviar um ID curto para o IDP para que ele reflita de volta na afirmação, que outro mecanismo pode ser usado para este fim.
Exemplo:
o pedido SAML 2.0 enviado pela aplicação SP é:
Assertion_consumer_service_url: https://host.COM:port / saml / consuse? entityId=n&myName=Utilizador
a configuração no fornecedor de Identidade tem os meta-dados:
URL de sinal único: https: //host. com: port / saml / consuse?entityId=n
Note que o meu nome muda de um pedido para o seguinte, pois é a nossa forma de verificar se a resposta tem nome_id que corresponde ao nome de utilizador original que está a ser enviado.
além disso, se houver uma forma de O prestador de Serviços deixar o prestador de identidade afirmar que um nome gerido pela SP (como o nome de Utilizador), isso seria bom para as nossas necessidades. Como se especifica isso?
Obrigado.1 answers
Em SAML, presume-se que o ACS é estático para um SP. Para correlacionar a resposta com o AuthnRequest de origem, você deve salvar o ID do AuthnRequest de saída e, em seguida, usar o InResponseTo
da resposta recebida.
O SP pode adicionar um assunto ao AuthnRequest, dizendo ao IdP qual o nome de utilizador que deseja autenticar. Está definido no ponto 3.4.1 da especificação do núcleo do SAML2.