我实现了SAML 2.0 SP
我有一个带端点https://my.domain.com/mng/samlLogin的登录servlet,所以在SP元数据文件中我定义了:
<md:AssertionConsumerService
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
Location="https://my.domain.com/mng/samlLogin" index="0" isDefault="true"/>
并在AssertionConsumerServiceURL下的AuthenRequest中发送此端点。
现在,我有另一个具有不同功能的servlet,它需要根据SAML作为其流程的一部分来验证用户。
所以我需要将新的servlet的URL定义为一个额外的端点,让我们说https://my.domain.com/mng/myServletSamlLogin,这将获得SAML身份验证响应。
这可能吗?我可以为同一个绑定(HTTP-POST)定义多个AssertionConsumerService元素吗?
谢谢!
答案 0 :(得分:3)
是的,您可以在SAML 2.0 SP元数据中包含具有相同绑定的其他<md:AssertionConsumerService>元素,每个元素都有自己唯一的索引。或者,您可以选择将身份验证请求签名为SP,在这种情况下,您可以自由指定AssertionConsumerServiceURL,而无需先前作为SP元数据交换的一部分发布和配置它。
这是符合规范的,但要注意(与#34;高级&#34; SAML选项一样),您的里程可能会有所不同。支持不同的SAML实现。
答案 1 :(得分:0)
查看Assertion Consumer Service Glossary会告诉您
断言消费者服务
接收的SP角色中的PingFederate的SAML兼容部分 并处理来自IdP的断言。
<强>属性
描述主题的独特特征。如果主题是 网站用户,属性可能包括名称,组关联,电子邮件 地址等。
属性合同
属性中的合作伙伴同意的属性列表 联合,表示有关用户的信息(SAML主题)。该 在SSO或STS期间,属性从IdP发送到SP 处理
所以将绑定关联到断言消费者服务(ACS)端点,您的SP将收到断言。