1. Zuhause
  2. Frage und Antwort
  3. Dynamische Callback-URL mit mod_auth_mellon pingfederate

Dynamische Callback-URL mit mod_auth_mellon pingfederate

2017-10-11 5 views
0

Wir haben unseren SPA mit mod_auth_mellon konfiguriert und die SP Initiated-Einrichtung funktioniert gut. Wir möchten nun die Möglichkeit hinzufügen, dynamisch zur SPA-URL zu routen, die den SSO-SAML-Aufruf ausgelöst hat.Dynamische Callback-URL mit mod_auth_mellon pingfederate

Unten ist der Stromfluss

  1. Benutzer die Session URL http://foo.com/user/1
  2. öffnet abgelaufen ist, so dass die SP initiiert SSO-Handshake und leitet Benutzer IDP (Ping Federate).
  3. Benutzer-Logins auf IDP und nach erfolgreicher Authentifizierung wird http://foo.com/sso_callback

In Schritt (3) umleiten wir http://foo.com/user/1 umleiten wollen jetzt zurück. Welche Konfigurationsänderungen sollte ich in der SP/IDP-Konfiguration vornehmen, um dynamisches Routing zu ermöglichen?

Quelle

2017-10-11 user1044173

Antwort

0

Wenn Sie SAML 2.0 verwenden, möchten Sie den RelayState verwenden. Wenn Sie Ihre AuthN-Anfrage in Schritt 2 erstellen, sollten Sie sicherstellen, dass Sie als Dienstanbieter Ihren gewünschten RelayState enthalten. Der Wert, den Sie in die IDP für Relaystate bieten wird durch die Transaktion durchgeführt werden und zurück zu Ihnen als URL-Parameter in Schritt 3, wenn der Benutzer POSTs zu Ihrem ACS @http://foo.com/user

Hier ist ein Beispiel Fluss gegeben:

  1. Benutzer öffnen die URL http://foo.com/user/1
  2. Session abgelaufen ist, so dass der SP leitet den Benutzer auf den IDP mit einer AuthN-Token und einen Relaystate-Wert von http://foo.com/user/1
  3. IDP authentifiziert Benutzer
  4. IDP DIREC ts der Benutzer eine SAMLResponse Token an den SP ACS @http://foo.com/sso_callback, POST und enthält auch eine zusätzliche URL-Parameter für Relaystate
  5. verbraucht SP und validiert SAMLResponse an der ACS, und wenn sie erfolgreich sind, die jetzt aktiv sessioned Benutzer auf den Wert dann umleitet enthalten im Relaystate-Parameter

auf gut Glück nicht SP init SSO tun und stattdessen eine allgemeine Umleitung zu einem IDP initiated SSO URL von PingFederate tun, können Sie den URL-Parameter TargetResource auf Ihre IDP initiiert SSO Umleitung hinzufügen um es später mit der SAMLResponse zurück zu erhalten.

Quelle

2017-10-20 19:43:49

Verwandte Themen

 Verwandte Themen