我在使用pingFederate服务器时遇到了同样的问题,那时我在idpInit SSO端点使用了acsIdx属性作为查询字符串,我的问题就解决了。
我想问一下ADFS中是否存在类似的属性,设置时会将saml响应发送到所需的ACS URL而不是默认值。
另外,我想知道如果我在samlRequest中设置assertionConsumerURL,ADFS就能够将响应发送到该URL,即使authnRequest没有签名。
答案 0 :(得分:0)
我不相信ADFS(RP-STS)可能在AuthnRequest中包含不同的ACS URL或ACSIndex。在玩ADFS时,我从未见过这种类型的修改是可能的。
似乎可以让ADFS(作为IP-STS)根据AuthnRequest中的ACS URL或ACS索引向多个ACS URL发送断言,只要它们列在中继方信任端点列表中即可。但是,根据规范,如果未列出ACS URL且SP未签署AuthnRequest,则ADFS应拒绝AuthnRequest为不合规。
HTH - Ian