WSO2 IS 和 mod-auth-mellon for SSO
WSO2 IS and mod-auth-mellon for SSO
我们正在尝试使用 WSO2 IS 和 Apache+mod-auth-mellon 在不同的 Apache 之间进行单点登录。
这是关于让 SSO 部分在多个 Apache 实例之间工作:
我得到了第一个与 WSO2 IS 一起工作的 Apache+mod-auth-mellon。在 WSO2 Admin 上,我添加了一个身份提供者和一个服务提供者。
在使用第一个 Apache 实例登录后,我建立了第二个 Apache (+mod_auth_mellon),并添加了第二个服务提供商,但我发现,为了登录到那个第二个 Apache 实例工作,我必须添加一个额外的 ACS URL 指向第一个服务提供商(在 WSO2 IS Admin 中)中的第二个 Apache,反之亦然。
我认为我必须添加的 ACS URL 是以 "postResponse" 结尾的那个。
这(必须将这些 "cross" ACS 添加到多个服务提供商)是基于 SAML 的 SSO 的 "normal" 要求吗?或者它是 mod_auth_mellon 和 WSO2 IS 的特定内容?
谢谢,
吉姆
看起来你的第二个 Apache (+mod_auth_mellon) 也从 WSO2 IS 选择了相同的服务提供商 (1st Service Provider)。您可以通过从 IS 中删除第二个服务提供商并将两个 ACS URL 保留在一个服务提供商中来确认这一点。如果您仍然可以登录到第二个 Apache,则两者都由一个服务提供商提供。我不熟悉 mod_auth_mellon 但从 WSO2 IS 方面来看,没有必要为两个 SP 添加交叉 ACS。
WSO2 IS 根据应用程序发送的 SAML 请求中的颁发者值来决定选择哪个服务提供商(在您的情况下是 Apache+mod_auth_mellon)。即 SAML 请求中的颁发者值应等于 SSO 服务提供商配置中的颁发者值。如果您需要两个服务提供商配置,您的两个 Apache 应该在请求中发送两个不同的发行者值。
我们正在尝试使用 WSO2 IS 和 Apache+mod-auth-mellon 在不同的 Apache 之间进行单点登录。
这是关于让 SSO 部分在多个 Apache 实例之间工作:
我得到了第一个与 WSO2 IS 一起工作的 Apache+mod-auth-mellon。在 WSO2 Admin 上,我添加了一个身份提供者和一个服务提供者。
在使用第一个 Apache 实例登录后,我建立了第二个 Apache (+mod_auth_mellon),并添加了第二个服务提供商,但我发现,为了登录到那个第二个 Apache 实例工作,我必须添加一个额外的 ACS URL 指向第一个服务提供商(在 WSO2 IS Admin 中)中的第二个 Apache,反之亦然。
我认为我必须添加的 ACS URL 是以 "postResponse" 结尾的那个。
这(必须将这些 "cross" ACS 添加到多个服务提供商)是基于 SAML 的 SSO 的 "normal" 要求吗?或者它是 mod_auth_mellon 和 WSO2 IS 的特定内容?
谢谢, 吉姆
看起来你的第二个 Apache (+mod_auth_mellon) 也从 WSO2 IS 选择了相同的服务提供商 (1st Service Provider)。您可以通过从 IS 中删除第二个服务提供商并将两个 ACS URL 保留在一个服务提供商中来确认这一点。如果您仍然可以登录到第二个 Apache,则两者都由一个服务提供商提供。我不熟悉 mod_auth_mellon 但从 WSO2 IS 方面来看,没有必要为两个 SP 添加交叉 ACS。
WSO2 IS 根据应用程序发送的 SAML 请求中的颁发者值来决定选择哪个服务提供商(在您的情况下是 Apache+mod_auth_mellon)。即 SAML 请求中的颁发者值应等于 SSO 服务提供商配置中的颁发者值。如果您需要两个服务提供商配置,您的两个 Apache 应该在请求中发送两个不同的发行者值。