SP元数据:属性entityID和Location中的物理地址

时间:2014-07-13 09:42:09

标签: single-sign-on saml-2.0 shibboleth service-provider

the documentation about entity naming中说,最好使用域名作为属性entityID的值:

  

强烈建议不要使用服务器的物理主机名   将Shibboleth作为entityID运行。随着时间的推移,事情就会发生变化   并且该部署可能并不总是位于同一个盒子上。

     

此外,Shibboleth可能有多个逻辑部署   在单个物理服务器上,每个服务器都需要自己唯一的entityID,   因此,使用服务器的名称不会超出单个名称。

还有更多:

  

一些Shibboleth联合会有严格的政策来管理   选择entityID,虽然这比IdP更常见   的SP。在其他联合中,选择取决于联合   参与者,但运营商可以执行基本惯例或做出反应   对明显糟糕的选择负面。一般来说,你应该检查   与您计划加入的联合会,并遵循上述建议。

说明规范:

Metadata for the OASIS Security Assertion Markup Language (SAML)V2.0

  

entityID [必填] -

 Specifies the unique identifier of the SAML entity whose metadata is 
 described by the element's contents.

我的SP部署在沙箱中,该沙箱没有域名。 我可以在属性entityIDLocation中使用物理地址(和端口)吗?

我将非常感谢这些信息。谢谢大家。

1 个答案:

答案 0 :(得分:1)

由于开发阶段,沙箱部署是可以的,并且应该没有问题,但它完全不适合生产。如文档中所述,在您的方案中,每次更改沙箱SP物理位置时,都必须更新SP和可能的IdP端的元数据。