如果SAML IdP具有预配置的ACS网址(例如,来自SP元数据的网址),是否应该忽略AuthNRequest
中发送的网址?
答案 0 :(得分:1)
SAML Core规范声明IdP必须使用AuthnRequest中指定的ACS。它还指出,IdP必须以某种方式确保ACS属于SP。例如,依靠消息签名或ACS是元数据中定义的。
来自规范
AssertionConsumerServiceURL [可选] 按值指定消息必须返回到的位置 请求者。响应者必须通过某种方式确保指定的值实际上是相关的 与请求者。 [SAMLMeta]提供了一种可能的机制;签署附件 消息是另一个。