Verwendung von ADFS, SAMLResponse wird nicht an ACS URL gesendet in SAMLRequest [authnRequest]

Question

Ich hatte zunächst das gleiche Problem bei der Verwendung von PingFederate Server, damals verwendete ich AcsIdx Attribut als Querystring in der IdpInit SSO Endpunkt und mein Problem wurde gelöst.

Ich wollte fragen, gibt es ähnliche Attribut in ADFS auch, die, wenn gesetzt wird die SAML-Antwort an die gewünschte ACS-URL anstelle der Standardeinstellung senden.

Ich wollte auch wissen, dass, wenn ich die AssertionConsumerURL in der samlRequest festlegen wird das ADFS in der Lage sein, die Antwort an diese URL zu senden, auch wenn die AuthnRequest nicht signiert ist.

Answer 1

Ich glaube nicht, dass ADFS (RP-STS) eine andere ACS URL oder ACSIndex in der AuthnRequest enthalten kann. Beim Spielen mit ADFS habe ich nie gesehen, dass diese Art von Modifikation möglich war.

Es scheint möglich zu haben, dass ADFS (als IP-STS) eine Bestätigung an mehr als 1 ACS-URL basierend auf der ACS-URL oder dem ACS-Index in AuthnRequest sendet, solange sie in der Liste Relaying Party Trust Endpoints aufgeführt sind . Wenn jedoch gemäß der Spezifikation die ACS-URL NICHT aufgeführt ist und der SP die AuthnRequest NICHT signiert, sollte ADFS die AuthnRequest als nicht konform ablehnen.

HTH - Ian