注意到Saml2AuthnResponse Destionation是基于relyingParty.SingleSignOnDestination设置的,Destination是从“配置”(经编码的dependingParties数组)中检索的。
我认为AuthnRequest应该基于samlp:AuthnRequest AssertionConsumerServiceURL-> relyingParty中设置的内容,并使用Destination AuthnRequest如果AuthnRequest中缺少它,则可以作为备用,但是从我看来,每个{{1}}都包含ACS URL。
或者以这种方式实现它是有原因的吗?
谢谢
答案 0 :(得分:0)
仅重播已知的URL /域是安全性的一部分。因此,为每个依赖方配置relyingParty.SingleSignOnDestination很重要。
要获得动态响应URL,可以扩展代码以验证authnRequest.AssertionConsumerServiceUrl以relyingParty.SingleSignOnDestination中的值开头。
例如relyingParty.SingleSignOnDestination中的值可以是“ https://somedomain.com”
从而接受不同的authnRequest.AssertionConsumerServiceUrl,例如“ https://somedomain.com/auth/AssertionConsumerService”或“ https://somedomain.com/acs”