不止一个ACS网址

时间:2016-09-19 06:59:53

标签: saml pingfederate

我们正在使用PingFederate进行SSO并且是SP启动的。和Ping Federate将像Idp一样行事。对于应用程序,有2个Web服务器(用于高可用性

我的问题是 1.我们可以默认提供两个网址(在控制台中,只有一个网址可以设置为默认网址。在这种情况下,我们可以提供两个逗号分隔的网址。)

  1. 可以为ACS网址提供负载均衡器网址。
  2. 谢谢!

2 个答案:

答案 0 :(得分:1)

我认为您希望在SP元数据中发布断言使用者服务URL,因为它特定于服务提供者。

您可以为SP支持的特定绑定提供唯一或相同的ACS端点,并且端点必须了解对IdP绑定的响应。 ACS端点也可以编入索引,任何一个都可以在元数据中设置为默认值。例如:

 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sts.contoso.com/adfs/ls/" index="0" isDefault="true" />
    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://sts.contoso.com/adfs/ls/" index="1" /> 
    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sts.contoso.com/adfs/ls/" index="2" /> 

只要IdP可以从外部访问SP服务器,您就可以使用负载均衡器URL。

答案 1 :(得分:0)

正如您在PingFederate管理控制台中所述,您可以指定多个ACS URL,但只有一个是默认URL。为每个ACS URL分配一个索引号。

如果未提供ACSIdx查询参数,则使用IdP-Initiated SSO,默认ACS URL将用于发送SAML断言。此查询参数指定要使用的ACS URL。使用该参数时,它会将SAML断言发送到与索引关联的ACS URL,如PingFederate管理控制台中所示。

如果服务提供商应用程序发送签名的AuthnRequest,则使用SP-Initiated SSO,ACS URL可以是动态的。根据SAML规范,SP-Initiated SSO可以发送将由身份提供商(在本例中为PingFederate IdP)使用的ACS URL来传输SAML断言。因此,请求服务器指定如何返回自己,并且PingFederate IdP服务器已授予AuthnRequest签名和信任。