我正在尝试将BIME Analytics配置为服务提供商(SP),以将Google for Work用作SAML身份提供商(IdP)。
按照https://support.google.com/a/answer/6087519?hl=en的说明,我可以执行SP发起的身份验证。这意味着,如果我访问https://.bime.io/portal并单击SAML登录按钮,我将被重定向到Google登录页面,在输入我的Google for Work凭据后,我可以访问我的BIME门户页面。
不幸的是,我无法让IdP启动身份验证工作。也就是说,从Gmail开始,如果我打开应用程序启动器并单击我的BIME SAML应用程序的图标,它将带我进入BIME而不会出现任何身份验证问题,但随后我找不到BIME仪表板错误。
BIME支持能够识别出这是因为我没有发送他们需要的RelayState参数值。当我开始使用BIME时,我会在他们的网页上显示一个隐藏的RelayState值,该值会发送给Google,让我知道在我登录后将发送给我的位置。但是,当我在Google开始时,该值是没有设置。 BIME支持能够在Okta中配置连接,因为Okta有一个" Default RelayState"他们可以将值硬编码的字段。
对于Google SAML应用,如何指定默认的RelayState值以启用身份验证启动身份验证到SAML应用中?
答案 0 :(得分:2)
昨天我看了G Suite中的IdP SAML设置页面,发现有一个可选的"起始网址"字段。
我还在help documentation to configure pre-integrated SAML applications中注意到"开始网址"田地经常使用。
由于IdP响应的可配置部分是:
我不得不猜测"开始网址"可能是保存RelayState参数的字段。考虑到RelayState是可选的 - 但是重要且常用 - 是SAML集成的一部分,这很有意义。它还解释了为什么该字段是可选的,并且直接在ACS和实体ID字段下面。
This Oracle blog post引用了“开始URL”字段,并建议其中一个用途是包含未经请求的RelayState值:
(可选)输入Google IdP发起的SSO操作的起始网址, 用户将点击Google上的SAML应用程序合作伙伴 被重定向到OAM的应用程序:这将受到保护 应用程序URL或未经请求的中继状态。
因此,虽然我现在无法对自己进行测试,但我认为可以安全地说这个"开始网址"字段是您正在寻找的用于设置RelayState值的字段。
答案 1 :(得分:0)