我正在使用SAML 2.0和浏览器SSO配置SP以连接到另一个IDP。我已完成所有设置,但无法弄清楚如何或是否可以向IDP发送断言。 IDP通常不会将断言发送回SP吗?当我导航到IDP的ACS URL时,我无法访问登录页面,因为我缺少这些SAML断言。
我的具体用例是通过PingFederate进行设置。
谢谢!
答案 0 :(得分:0)
您正确 - IdP将断言发送回SP,而不是相反。 SP可以在身份验证请求中向IdP发送一些数据 - 但通常只是合作伙伴ID和(在极少数情况下)主题/用户名告诉IdP谁请求进行身份验证
"导航"对于IdPs,ACS URL并不是最终用户的浏览器通常应该做的事情。 ACS URL是一个协议端点,其中断言将从IdP发送 - 通常是由浏览器自动提交的HTTP POST,由IdP代表用户发起。
如果您希望SP从PingFederate向IdP发送身份验证请求,则可以使用SP应用程序端点(即/sp/startSSO.ping)。这些端点在此处描述:https://documentation.pingidentity.com/pingfederate/pf90/index.shtml#concept_spServices.html#concept_spServices