2. 질의 응답
  3. SAMLv2 SP가 시작되었습니다. 하나의 서비스 공급자와 여러 ID 공급자

SAMLv2 SP가 시작되었습니다. 하나의 서비스 공급자와 여러 ID 공급자

2010-12-15 5 views
2

idp1에 연결된 http://subdomain1.mysite.com, idp2에 연결된 http://subdomain2.mysite.com 등의 하위 도메인을 사용하여 각 idp가 sp에 연결된 여러 ID 공급자 (idps)와 함께 하나의 서비스 공급자를 사용해야합니다. 내 어서션 소비자 서비스 URL은 https://mysite.com/SAML/AssertionConsumerService.aspx처럼 보입니다.SAMLv2 SP가 시작되었습니다. 하나의 서비스 공급자와 여러 ID 공급자

문제는 올바른 인증서를로드 할 수 있도록 AssertionConsumerService.aspx 코드에서 어떤 idp 응답이 오는지 알아야한다는 것입니다. 나는 발급 사, 응답 목적지 및 다른 수단을 행운으로 시도했습니다.

누구나 응답 및/또는 모범 사례에서 IDS를 구별하는 좋은 방법을 알고 있습니까? 아니면 이것을 할 수있는 표준 방법이 있습니까? 당신은 당신이 모든 실향민에 대해 동일한 ACS URL이있는 경우, 그 대상은 항상 어설에서 동일합니다,다시피 내가

출처

2010-12-15 ctb

답변

1

, 우리는 클라이언트를 나타내는 엔티티 (우리는 "서비스 도메인"호출)가 클라이언트 이름으로 그 개체를 식별해야 하나 발급자 요소 값이나 Issuer SPProvidedID 특성 값입니다. 엔드 (SP)의 SAML 구성은 예를 들어 디지털 서명을 확인하기위한 공개 키 인증서를 포함하여 해당 "서비스 도메인"엔티티와 연결됩니다.

저는 Issuer 값을 사용하는 것이 하위 도메인을 키 누르는 것보다 적절하다고 말하고 싶습니다.

출처

2010-12-16 15:07:04 JST

2

http://www.componentspace.com/Products/SAMLv20.aspx을 사용하고

.

각 IDP는 서명 할 공개 인증서가있는 경우 고유 한 발행자를 보유해야합니다 (필수). 내 경험상 PingFederate 및 다른 서버는 응답을 확인할 때 올바른 구성 정보를로드하고 있는지 확인합니다. Issuer가이 상황에서도 귀하에게 적합하지 않은 이유를 잘 모릅니다.

동일한 회사의 "다른"IDP가 동일한 발급자와 다양한 DSIG 인증서 및 AttributeStatement로 응답을 보내고 있지만 대부분의 경우 그렇게해서는 안되는 상황이 발생할 수 있습니다.

HTH 이안

우리의 시스템에서

출처

2010-12-15 15:45:13 Ian

+0

안녕하세요, 답장을 보내 주셔서 감사합니다. idp 발급자 즉 https://subdomain.idp1.com의 idp1 비트를 사용하여 인증서를 얻을 수 있지만 수정본처럼 보입니까? 발행사 방식을 추천 해 주시겠습니까? idp에서 메타 데이터 파일을 사용할 수 있다고 읽었지만 응답 (어설 션)에 연결되어 있다고 생각하지 않습니다. 동일한 ACS URL을 사용하는 주된 이유는 각 SP 하위 도메인에 대해 중복 된 코드와 함께 SSL을 구입할 필요가 없었기 때문입니다. – ctb

+1

아래의 JST에 동의합니다. "발급자"요소는 메시지 (Spec 별)에 있어야하며 서명 된 메시지 (응답 또는 주장) IIRC의 일부입니다. 당신은 그것에 의지해야합니다. – Ian

관련 문제

 관련 문제