SAML 2 (Ping Federate) IdP 是否应该访问 AssertionConsumerServiceURL?

SAML 2 (Ping Federate) Should the AssertionConsumerServiceURL be accessible by the IdP?

我们正在使用 SSO 构建网站,我们在 SP 端,无法控制 IdP。我们将有多个环境,包括本地开发服务器。

问题是 AssertionConsumerServiceURL 将无法被外界访问(它类似于 127.0.0.1/xyz),我被告知这是一个问题,因为 IdP 需要创建 POST 向该服务器请求。

然而,据我对 "double post" method 的理解,只有用户需要能够访问 SP,并且 SP 和 IdP 之间没有直接通信(因为用户是中继)。

能否请您指出 IdP 是否需要直接访问 SP "AssertionConsumerServiceURL"? 如果是,本地开发环境应该如何处理?

ACS URL 需要 SP 的 user 可以访问基于浏览器的 SSO(对于重定向和 POST 绑定)。只要您拥有 IdP 的凭据(在许多情况下不太可能,除非您控制双方),并且可以自己进行端到端测试(例如,您公司的 "test harness"),那么您将需要使 ACS URL/SP 应用程序可供用户使用。