不止一个 ACS url
More than one ACS url
我们正在使用 PingFederate 进行 SSO 并且由 SP 发起。 Ping Federate 将像 Idp 一样工作。对于应用程序,有 2 个网络服务器(用于高可用性
我的问题是
1. 我们可以提供两个 url 作为默认值吗(在控制台中,只有一个 url 可以设置为默认值。在这种情况下,我们可以提供两个逗号分隔的 url 吗)。
- 可以为 ACS url 提供负载平衡器 url。
谢谢!
我认为您想在 SP 元数据中发布断言消费者服务 URL,因为它特定于服务提供者。
对于 SP 支持的特定绑定,您可以具有唯一或相同的 ACS 端点,并且该端点必须了解对来自 IdP 的绑定的响应。还可以为 ACS 端点编制索引,并且可以将任何一个端点设置为元数据中的默认值。示例:
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sts.contoso.com/adfs/ls/" index="0" isDefault="true" />
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://sts.contoso.com/adfs/ls/" index="1" />
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sts.contoso.com/adfs/ls/" index="2" />
只要 IdP 可以从外部访问 SP 服务器,您就可以使用负载平衡器 URL。
如您在 PingFederate 管理控制台中所述,您可以指定多个 ACS URL,但只有一个是默认值 URL。每个 ACS URL 都分配有一个索引号。
使用 IdP 发起的 SSO,如果未提供 ACSIdx 查询参数,默认的 ACS URL 将用于发送 SAML 断言。此查询参数指定要使用哪个 ACS URL。使用该参数时,它会将 SAML 断言发送到与索引关联的 ACS URL,如 PingFederate 管理控制台中所示。
使用 SP 发起的 SSO,如果服务提供商应用程序发送签名的 AuthnRequest,ACS URL 可以是动态的。根据 SAML 规范,SP 发起的 SSO 可以发送 ACS URL,身份提供者(在本例中为 PingFederate IdP)将使用该 ACS 来传输 SAML 断言。因此,请求服务器指定如何return 自己授予 AuthnRequest 由 PingFederate IdP 服务器签名和信任。
我们正在使用 PingFederate 进行 SSO 并且由 SP 发起。 Ping Federate 将像 Idp 一样工作。对于应用程序,有 2 个网络服务器(用于高可用性
我的问题是 1. 我们可以提供两个 url 作为默认值吗(在控制台中,只有一个 url 可以设置为默认值。在这种情况下,我们可以提供两个逗号分隔的 url 吗)。
- 可以为 ACS url 提供负载平衡器 url。
谢谢!
我认为您想在 SP 元数据中发布断言消费者服务 URL,因为它特定于服务提供者。
对于 SP 支持的特定绑定,您可以具有唯一或相同的 ACS 端点,并且该端点必须了解对来自 IdP 的绑定的响应。还可以为 ACS 端点编制索引,并且可以将任何一个端点设置为元数据中的默认值。示例:
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sts.contoso.com/adfs/ls/" index="0" isDefault="true" />
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://sts.contoso.com/adfs/ls/" index="1" />
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sts.contoso.com/adfs/ls/" index="2" />
只要 IdP 可以从外部访问 SP 服务器,您就可以使用负载平衡器 URL。
如您在 PingFederate 管理控制台中所述,您可以指定多个 ACS URL,但只有一个是默认值 URL。每个 ACS URL 都分配有一个索引号。
使用 IdP 发起的 SSO,如果未提供 ACSIdx 查询参数,默认的 ACS URL 将用于发送 SAML 断言。此查询参数指定要使用哪个 ACS URL。使用该参数时,它会将 SAML 断言发送到与索引关联的 ACS URL,如 PingFederate 管理控制台中所示。
使用 SP 发起的 SSO,如果服务提供商应用程序发送签名的 AuthnRequest,ACS URL 可以是动态的。根据 SAML 规范,SP 发起的 SSO 可以发送 ACS URL,身份提供者(在本例中为 PingFederate IdP)将使用该 ACS 来传输 SAML 断言。因此,请求服务器指定如何return 自己授予 AuthnRequest 由 PingFederate IdP 服务器签名和信任。