1. Zuhause
  2. Frage und Antwort
  3. SAMLv2 SP initiiert: Ein Service Provider und mehrere Identity Provider

SAMLv2 SP initiiert: Ein Service Provider und mehrere Identity Provider

2010-12-15 15 views
2

Ich brauche einen Service Provider mit mehreren Identity Providern (IDPS) jedes IDP ist mit dem SP verbunden, indem eine Subdomain verwendet, dh verbindet mit IDP1, http://subdomain2.mysite.com verbindet zu IDP2 etc dann sieht meine Assertion Consumer Service URL wie folgt aus: https://mysite.com/SAML/AssertionConsumerService.aspx.SAMLv2 SP initiiert: Ein Service Provider und mehrere Identity Provider

Das Problem ist, ich muss wissen, welche idp die Antwort aus dem Code AssertionConsumerService.aspx kommt, damit ich das richtige Zertifikat laden kann. Ich habe den Herausgeber, das Ziel und andere Mittel ohne Glück versucht.

Kennt jemand einen guten Weg, um IDPS von der Antwort und/oder den besten Praktiken zu unterscheiden? Oder gibt es einen Standardweg?

Ich http://www.componentspace.com/Products/SAMLv20.aspx

Quelle

2010-12-15 ctb

Antwort

1

In unserem System haben wir ein Unternehmen, das den Client darstellt (wir nennen es eine „Service-Domain“) und verlangen, dass der Kunde das betreffende Unternehmen mit Namen identifiziert entweder als Emittent Elementwert oder der Attributwert "SPProvidedID" des Ausstellers. Die SAML-Konfiguration an unserem Ende (SP) ist dieser Entität der "Servicedomäne" zugeordnet, einschließlich beispielsweise des öffentlichen Schlüsselzertifikats zum Verifizieren ihrer digitalen Signatur.

Ich würde sagen, die Verwendung des Issuer-Werts ist geeigneter als der Versuch, Sub-Domains abzuschliessen.

Quelle

2010-12-16 15:07:04 JST

2

Verwendung Wie Sie bemerkt haben, wenn Sie die gleiche ACS-URL für alle Vertriebenen haben, dann ist das Ziel immer gleich in der Assertion sein.

Jeder IDP sollte (muss?) Seinen eigenen eindeutigen Aussteller haben, wenn sie auch jeweils ihr eigenes öffentliches Zertifikat haben, mit dem sie signieren. Meiner Erfahrung nach stellen PingFederate und andere Server sicher, dass bei der Validierung einer Antwort die richtigen Konfigurationsinformationen geladen werden. Nicht sicher, warum der Herausgeber in dieser Situation auch nicht für Sie arbeiten würde.

Sie können in Situationen geraten, in denen "verschiedene" IDPs aus derselben Firma Ihnen Antworten mit demselben Aussteller und verschiedenen DSIG-Zertifikaten und Attributstatements senden, aber das sollte in den meisten Fällen nicht wirklich passieren.

HTH Ian

Quelle

2010-12-15 15:45:13 Ian

+0

Hallo, danke für die Antwort. Ich könnte den Idp-Aussteller, d. H. Das idp1-Bit in https://subdomain.idp1.com, verwenden und das Zertifikat basierend darauf erhalten, aber es scheint wie ein Fix zu sein? Würden Sie den Emittenten empfehlen? Ich habe gelesen, dass Sie die Metadaten-Datei von der IDP verwenden können, aber ich glaube nicht, dass sie mit einer Antwort (Assertion) verbunden ist. Der Hauptgrund für die Verwendung derselben ACS-URL war, dass Sie kein SSL für jede sp-Subdomain plus den duplizierten Code kaufen müssen. – ctb

+1

Ich stimme JST unten zu. Das "Issuer" -Element muss in der Nachricht vorhanden sein (gemäß Spec) und ist Teil der signierten Nachricht (Response oder Assertion) IIRC. Darauf sollten Sie sich verlassen. – Ian

Verwandte Themen

 Verwandte Themen