SAML-Authentifizierung und benutzerdefinierte Weiterleitungs-URL

Question

Wir sind dabei, die Implementierung der SAML-basierten SSO-Authentifizierung in unseren Anwendungen zu untersuchen, und ich frage mich, ob es möglich ist, benutzerdefinierte Weiterleitungs-URLs über SAML anzugeben. Mit anderen Worten: Können wir einen einzelnen Service Provider im Identity Provider konfigurieren und den Service Provider über die SAML-Anfrage angeben lassen, wohin der Identity Provider den Benutzer nach der Anmeldung weiterleiten soll?

Der Grund, warum wir so etwas suchen, ist, dass unsere Anwendungen auf verschiedenen Servern laufen, je nachdem, in welchem ​​Entwicklungsstadium sie sich befinden (Entwicklung, Test, Staging, Prod). Es wäre großartig, wenn wir nicht vier separate Service Provider-Einträge im Identity Provider für jede einzelne Anwendung konfigurieren müssten, die wir zu SAML SSO migrieren.

Answer 1

Jeder SP verfügt über einen eigenen Assertion Consumer Service-Endpunkt, an dem die SAMLResponse validiert wird.

Eine der Überprüfungen, die der SP durchführt, ist die Überprüfung, dass die SAMLResponse an den richtigen ACS-Endpunkt gesendet wurde. Daher können Sie keine SAMLResponse für den Prod-Server auf dem Testserver verarbeiten.

Wenn Sie sich entscheiden, alle SAMLResponses in 1 eindeutigen SP-Endpunkten zu verarbeiten, besteht Ihre Idee darin, mit dem Parameter "RelayState" vom SP zum IdP anzugeben, wohin der SAMLResponse am ACS weitergeleitet werden soll Legen Sie eine globale Sitzung fest, die für alle Umgebungen lesbar ist, da es keine sichere/Standardmethode gibt, um die verarbeiteten Daten vom Endpunkt zum endgültigen zu senden.

Wenn Sie keine globale Sitzung für alle Umgebungen einrichten können, müssen Sie alle SPs im IdP registrieren.