IdP使用哪个AssertionConsumerServiceURL?

时间:2017-05-01 16:45:46

标签: saml

如果SAML IdP具有预配置的ACS网址(例如,来自SP元数据的网址),是否应该忽略AuthNRequest中发送的网址?

1 个答案:

答案 0 :(得分:1)

SAML Core规范声明IdP必须使用AuthnRequest中指定的ACS。它还指出,IdP必须以某种方式确保ACS属于SP。例如,依靠消息签名或ACS是元数据中定义的。

来自规范

  

AssertionConsumerServiceURL [可选]    按值指定消息必须返回到的位置   请求者。响应者必须通过某种方式确保指定的值实际上是相关的   与请求者。 [SAMLMeta]提供了一种可能的机制;签署附件    消息是另一个。