Google for Work SAML App의 기본 RelayState

Question

Google for Work를 SAML ID 제공 업체 (IdP)로 사용하기 위해 BIME 분석을 서비스 제공 업체 (SP)로 구성하려고합니다.

https://support.google.com/a/answer/6087519?hl=en의 지침에 따라 SP 시작 인증을 수행 할 수 있습니다. 즉, https : //.bime.io/portal을 방문하여 SAML 로그인 버튼을 클릭하면 Google 로그인 페이지로 리디렉션되고 내 Google for Work 자격 증명을 입력하면 BIME 포털 페이지에 액세스 할 수 있습니다.

불행히도 IdP 인증으로 작업을 시작할 수 없습니다. 즉, 예를 들어 Gmail에서 앱 실행기를 열고 BIME SAML 앱의 아이콘을 클릭하면 인증 문제없이 BIME으로 이동하지만 BIME 대시 보드를 찾을 수 없습니다.

BIME 지원은 이것이 필요한 RelayState 매개 변수 값을 전송하지 않았기 때문에이를 식별 할 수있었습니다. BIME으로 시작할 때 웹 페이지에 있는데 로그인 한 후 어디로 보내야하는지 Google에 알리는 RelayState 값이 숨겨져 있습니다. 그러나 Google에서 시작할 때 그 값은 설정되지 않습니다. . Okta에는 값을 하드 코드 할 수있는 "Default RelayState"필드가 있기 때문에 BIME 지원은 Okta에서 연결을 구성 할 수있었습니다.

Google SAML 앱의 경우 기본 RelayState 값을 지정하여 IdP가 SAML 앱에 인증을 시작하도록하는 방법은 무엇입니까?

Answer 1

어제 G Suite의 IdP SAML 설정 페이지를 살펴보고 옵션 "시작 URL"필드가 있음을 알았습니다.

help documentation to configure pre-integrated SAML applications에서 "Start URL (시작 URL)"필드가 자주 사용되는 것으로 나타났습니다. IdP가 응답의 구성 부분부터

은 다음과 같습니다

RelayState 값 매개 변수

("어설 션 소비자 서비스 URL"및 "엔티티 ID"G 스위트 설정 페이지에서 필드를 포함) 어설와

• SAMLResponse

"시작 URL"이 RelayState 매개 변수를 보관할 필드 일 가능성이 높습니다. RelayState가 SAML 통합의 일부이지만 중요하지만 일반적으로 사용되는 것을 고려하면 이는 많은 의미가 있습니다. 또한 필드가 선택 사항 인 이유와 ACS 및 엔터티 ID 필드 바로 아래에 설명되어 있습니다.

This Oracle blog post는 참조 시작 URL 필드 및 그 용도 중 하나가 원치 않는 RelayState 값 값을 포함하는 제안 : 사용자가 클릭 할 경우

는 선택적으로, 구글 IdP가 개시 SSO 작업에 을 [시작 URL을 입력합니다 Google의 SAML 애플리케이션 파트너 인 은 OAM의 애플리케이션으로 리디렉션됩니다. 이는 애플리케이션 URL이거나 원치 않는 릴레이 상태 일 것입니다.

그래서 지금은 테스트 할 수 없지만이 "시작 URL"필드가 RelayState 값을 설정하기 위해 찾고있는 것이 안전하다고 생각합니다.

Answer 2

당신이 찾고있는 RelayState 값 URL은

https://www.google.com/a/[DOMAIN]/ServiceLogin?continue=https://mail.google.com

더 많은 정보 here