当找不到用户作为 SP 时,OpenAM 重定向到默认 IDP URL
OpenAM redirects to Default IDP URL when user is not found as SP
设置:
我的网络应用程序有 OpenAM + OpenDJ 与联合服务器交互,以便通过 SAML2 提供 SSO 服务。有权访问我的应用程序的用户列表是 OpenDJ 的一部分。
它是如何工作的-
当用户第一次启动 link 并且应用程序确定他尚未登录时,用户将被重定向到 IDP URL 以进行身份验证。 IDP 通过公开的消费者 URL 提供 SAML2 响应。在收到 SAML2 响应后,我的应用程序确定用户是否是我的 LDAP 的一部分,从而允许访问并在他有权访问时显示主页。
问题
当用户不是我的 LDAP 的一部分时,我想抛出一个访问被拒绝的页面,但是,我发现 OpenAM 抛出默认的 IDP 启动的登录页面,其中带有转到我的参数 URL .
我已尝试配置成功和失败 URL,但这导致应用程序无法完全访问。用户甚至不会显示 IDO 登录屏幕。
我是否需要设置 属性 或配置来启用 OpenAM 以显示拒绝访问页面而不是 IDP 登录?
我能够通过网络服务器上的 changes/redirection 使它正常工作。虽然我不确定 OpenAM 配置中是否有地方可以解决这个问题。
设置:
我的网络应用程序有 OpenAM + OpenDJ 与联合服务器交互,以便通过 SAML2 提供 SSO 服务。有权访问我的应用程序的用户列表是 OpenDJ 的一部分。
它是如何工作的-
当用户第一次启动 link 并且应用程序确定他尚未登录时,用户将被重定向到 IDP URL 以进行身份验证。 IDP 通过公开的消费者 URL 提供 SAML2 响应。在收到 SAML2 响应后,我的应用程序确定用户是否是我的 LDAP 的一部分,从而允许访问并在他有权访问时显示主页。
问题
当用户不是我的 LDAP 的一部分时,我想抛出一个访问被拒绝的页面,但是,我发现 OpenAM 抛出默认的 IDP 启动的登录页面,其中带有转到我的参数 URL .
我已尝试配置成功和失败 URL,但这导致应用程序无法完全访问。用户甚至不会显示 IDO 登录屏幕。
我是否需要设置 属性 或配置来启用 OpenAM 以显示拒绝访问页面而不是 IDP 登录?
我能够通过网络服务器上的 changes/redirection 使它正常工作。虽然我不确定 OpenAM 配置中是否有地方可以解决这个问题。