我正在使用PingFederate进行SSO。我的应用程序充当SP,我正在尝试SP发起的SSO。 我发送SAMLRequest给PingFederate,签名。但它没有将SAML响应发送到SAMLRequest9authnRequest中提到的ACS URL。
你能帮我设置一下吗?那么默认的断言消费者URL是不是被选中了,而是使用了在SAMLRequest中发送的那个?
答案 0 :(得分:3)
[更新}
所以你是SP而PF是IDP? PF需要在本地元数据中列出您的断言使用者服务URL(PF可以为单个SP保存多个ACS URL),我相信您需要指定ACSIndex(在PF中配置)或ACSURL值。
SAMl 2.0 Core文档概述了如何在AuthnRequest中包含AssertionConsumerServiceIndex或AssertionConsumerServiceURL。
- 伊恩
您能提供更多详情吗?
听起来你正在使用PF作为IDP和SP?如果您希望PF(IDP)使用SP-Init SSO的默认ACS以外的ACS URL,则需要在AuthnRequest中指定ACS URL的ACSIndex。 PF(SP)可以通过将其附加到startSSO.ping应用程序端点来指定要包含在AuthnRequest中的特定ACSIndex。
如果ACS(IDP)配置中未列出ACSIndex,则SP必须签署AuthnRequest(根据规范)并指定要使用的ACSIndex。
请告诉我这是否有意义,或者您需要有关如何执行此操作的更多信息。
- 伊恩
答案 1 :(得分:0)
如果您使用AuthnRequest正确发送,PingFederate将自动维护RelayState(作为IDP)并使用Assertion(根据规范)返回它。 PF中没有任何事情可以做到这一点。
我会确保你正确发送它并且PF正在记录它从你那里收到的值。