注意到Saml2AuthnResponse
Destionation
是基于relyingParty.SingleSignOnDestination
设置的,Destination
是从“配置”(经编码的dependingParties数组)中检索的。
我认为AuthnRequest
应该基于samlp:AuthnRequest
AssertionConsumerServiceURL
-> relyingParty
中设置的内容,并使用Destination
AuthnRequest
如果AuthnRequest
中缺少它,则可以作为备用,但是从我看来,每个{{1}}都包含ACS URL。
或者以这种方式实现它是有原因的吗?
谢谢
答案 0 :(得分:0)
仅重播已知的URL /域是安全性的一部分。因此,为每个依赖方配置relyingParty.SingleSignOnDestination
很重要。
要获得动态响应URL,可以扩展代码以验证authnRequest.AssertionConsumerServiceUrl
以relyingParty.SingleSignOnDestination
中的值开头。
例如relyingParty.SingleSignOnDestination
中的值可以是“ https://somedomain.com”
从而接受不同的authnRequest.AssertionConsumerServiceUrl
,例如“ https://somedomain.com/auth/AssertionConsumerService”或“ https://somedomain.com/acs”