此刻,我正在设置WSO2身份服务器。第一步是在超级租户中使用居民身份提供商,并将服务提供商设置为SaaS应用程序。到目前为止,效果很好。
不好的事情是(1)用户需要使用username@tenantdomain模式来标识自己的身份来登录。下一件不好的事情是,(2)我们无法为每个租户配置登录策略或帐户管理策略。我们只能全局处理它。
出于测试原因,我们修改了authenticationendpoint应用程序,以便在登录时动态地注入租户域(通过分析relyingParty参数)。到目前为止,该方法仍然有效,但第(2)项仍然存在。
下一步是为每个租户配置一个IdP和SP。据我了解,这是摆脱点(1)和(2)的方法。
那是我完全陷入困境的地方。碳日志仅提到我们需要预先注册SP。我正在阅读上周的各种帖子,jiras问题和博客条目,但是我仍然没有有效的解决方案。在我看来,即使我配置了租户常驻IdP并相应地交换了元数据,IS仍然认为我们正在尝试与超级租户常驻IdP通信。
我们使用的SP是使用SimpleSAMLphp创建的。
也许我误解了在WSO2 IS中为每个租户设置IdP / SP的原则?也许我以错误的方式处理居民身份证?
欢迎任何帮助/建议。
答案 0 :(得分:0)
即使这个问题很旧,the documentation下面的部分也将帮助寻找答案的人。
从WSO2 Identity Server 5.0.0起,存在不同的SAML 每个租户的端点。如果服务提供商致电身份 提供者的SAML端点URL为
https://is.com:9443/samlsso?tenantDomain=foo.com或发行人名称为 像@<TenantDomain>一样附加了travelocity.com@foo.com,即SAML 请求将定向到foo.com租户。
另外,请注意,在将SAML SSO与租户一起使用时(使用上述两种方法之一),SAML响应将使用特定租户的私钥进行签名。