SAMLv2 SP發起：一個服務提供商和多個身份提供商

Question

我需要使用一個服務提供商與多個身份提供商（idps）每個idp通過使用子域連接到sp，即http://subdomain1.mysite.com連接到idp1,http://subdomain2.mysite.com連接到idp2等那麼我的斷言消費者服務URL看起來像這樣https://mysite.com/SAML/AssertionConsumerService.aspx。

問題是我需要知道什麼idp響應來自AssertionConsumerService.aspx代碼，所以我可以加載正確的證書。我試過發行人，迴應目的地和其他方式，但沒有運氣。

有誰知道區分idps與響應和/或最佳實踐的好方法嗎？還是有一個標準的方法來做到這一點？

我使用http://www.componentspace.com/Products/SAMLv20.aspx

Answer 1

在我們的系統，我們有一個表示客戶端的實體（我們稱之爲「服務域」），並要求該客戶端通過名稱來識別該實體既可以作爲發行人元素值或發行人SPProvidedID屬性值。我們的端（SP）上的SAML配置與該「服務域」實體相關聯，例如包括用於驗證其數字簽名的公鑰證書。

我會說使用發行人值比嘗試關閉子域名更合適。

Answer 2

正如你已經注意到了，如果你有相同的ACS URL爲所有國內流離失所者，則目標將永遠是聲明中的相同。

每個IDP應該（必須）擁有自己獨特的頒發者，至少如果他們也擁有自己的公共證書，他們正在簽署。根據我的經驗，PingFederate和其他服務器確保在驗證響應時加載正確的配置信息。不知道爲什麼Issuer在這種情況下也不會爲你工作。

您可能會遇到來自同一家公司的「不同」IDP可能向您發送的情況使用同一頒發者和不同DSIG證書和AttributeStatements的回覆，但在大多數情況下不應發生這種情況。

HTH 伊恩