作为SP,我们选择了POST绑定选项 - 它似乎是建议的方法。 SAML现已建立并与IDP合作。我们现在想要更改为Redirect,因为在超时后更好地处理Ajax调用。
我的问题是我们是否可以在不对IDP端进行设置更改的情况下从POST切换到Redirect。看来两个绑定只是使用UserAgent(浏览器)作为传输,我认为它可能是可能的。但是绑定是在元数据中的AssertionConsumerService中定义的,表明需要通知IDP并更改其配置。
答案 0 :(得分:0)
SAML规范不支持通过Redirect发送SAML响应(这是发送到Assertion Consumer Service端点的响应),因为响应很容易变得太大而无法作为查询参数发送。请参阅SAML Web SSO配置文件规范https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf
中的第420行
- 向服务提供商发送身份提供商问题在步骤5中,身份提供商发出要传递的消息 用户代理到服务提供商。 HTTP POST或HTTP 工件绑定可用于将消息传输到服务 提供者通过用户代理。该消息可能表示错误,或 将包括(至少)一个身份验证断言。 HTTP重定向 不得使用绑定,因为响应通常会超过 大多数用户代理允许的URL长度。
答案 1 :(得分:0)
您可以切换到工件,但需要在IDP上更新SP元数据以中继更改的端点。