我们正在使用SSO建立一个网站,我们在SP方面,并且无法控制IdP。我们将拥有多个环境,包括本地开发服务器。
问题是AssertionConsumerServiceURL将无法被外界访问(它将类似于127.0.0.1/xyz)并且我被告知这是一个问题,因为IdP需要向该服务器发出POST请求。
然而,根据我对"double post" method的理解,只有用户需要能够访问SP,并且SP和IdP之间没有直接通信(因为用户是中继)。
您能否指出IdP是否需要直接访问SP“AssertionConsumerServiceURL”? 如果是这样,应该如何处理本地开发环境?
答案 0 :(得分:3)
对于基于浏览器的SSO(对于重定向和POST绑定),SP的用户都需要访问ACS URL。只要您拥有IdP的凭证(在许多情况下不太可能,除非您控制双方),并且可以自己进行端到端测试(例如,您的公司"测试工具" ;),然后您需要向用户提供ACS URL / SP应用程序。