我正在尝试实施其他网站提供的SSO。
说明书要求我进入"发行人"信息。事实证明,这相当于EntityDescriptor中的EntityID URL。
我假设我需要将该URL设置为我服务器上的某个URL,但我似乎无法弄清楚,该URL实际上是做什么的。
我认为需要将一个文件放在该URL上并提供一些信息,但我似乎无法弄清楚该信息是什么。
那么EntityID URL需要哪些信息才能使其正常工作?
答案 0 :(得分:27)
要求是EntityId是URI(不是URL,在这种情况下,URI和URL之间的区别很重要)。请参阅SAML2核心规范中的“8.3.6实体标识符”。
来自SAML 2.0规范:
8.3.6实体标识符
URI:
urn:oasis:names:tc:SAML:2.0:nameid-format:entity表示元素的内容是。的标识符 提供基于SAML的服务的实体(例如SAML权限, 请求者或响应者)或是SAML配置文件的参与者(例如 支持浏览器SSO配置文件的服务提供商)。这样的 可以在元素中使用标识符来标识发行者 SAML请求,响应或断言,或在 要对可以发出SAML的系统实体进行断言的元素 请求,响应和断言。它也可以用于其他 用于标识系统实体的元素和属性 在各种协议交换中。
此类标识符的语法是不超过1024的URI 字符的长度。建议系统实体使用URL 包含自己的域名以表明自己。
NameQualifier,SPNameQualifier和SPProvidedID属性必须 被省略
推荐,URI是包含实体域名的URL。
如果要公开元数据,EntityId将用作实体元数据的众所周知的URL。根本不需要提供元数据。如果完成,可以以任何可能的方式提供元数据 - 但最佳做法是将其发布到EntityId URL。