我在SaaS应用程序中列出了多个子域。该应用程序提供了使用Onelogin配置SSO的选项,但是提供了仅输入一个SAML端点(将用户重定向到该SAML端点)和一个证书的选项。
在这种特定情况下,使用Onelogin,在Onelogin上设置的不同应用程序中具有一次登录名的证书是相同的,但是每个应用程序具有不同的SAML端点。这样就无法使用SAML应用程序的多个子域配置SSO。
在Onelogin中尝试使用SAML连接器(高级),但是,当设置了多个连接器时,每个连接器仍然具有不同的SAML端点。
使用相同的SAML端点在Onelogin中配置应用程序的任何帮助将非常有帮助。
答案 0 :(得分:0)
建议您使用SP初始SSO。支持深层链接。深层链接意味着您可以在执行身份验证请求时传递返回网址。成功登录后,它将返回您传递的“返回网址”。
答案 1 :(得分:0)
您在这里受制于SP。如果它仅支持一个IdP,那么您无法在Onelogin中采取任何措施来缓解这种情况。要扩展上述@todaynowork的答案,可以使用RelayState参数,但您的SP需要支持它。 RelayState参数允许SAML请求包括您的用户最初请求的资源。在ACS URL上验证SAML响应后,您可以使用RelayState参数将用户重定向到其在任何子域中的请求资源。假设您的SP辅助会话在所有子域中都是一致的,那么这可能对您有用。