SAML SP元数据XML SSO，接收方和目标URL

Question

SAML SP元数据XML SSO，接收方和目标URL

xmlsingle-sign-onmetadatasaml-2.0service-provider

3

在Okta中，我们可以在应用程序UI中指定不同的SSO、接收方和目标URL。如下图所示：

我们有一个自定义的URL，需要将SAML断言发送到该URL，该URL与接收方URL不同。接收方URL需要是通过代理经过Destination URL最终到达的URL。这对于Okta设置是有效的，但我们无法确定这些值应该放在一些IDP可能需要进行设置的SP SAML元数据XML中的哪个位置（而不是像Okta那样放在应用程序UI中）。是否有在SAML元数据中指定这些URL的地方，如果有，它们应该放在哪里？我在SAML 2.0规范中没有找到有关SP SAML元数据的这些URL的任何信息。

- PurrBiscuit

嗨@PurrBiscuit，我现在也遇到了同样的问题...你有什么新的解决方案吗？ - Hoàng Long

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- heq99 · Accepted Answer

如果我理解正确，您在SP和IdP之间有一个代理。并且您希望您的SP元数据XML指定代理的URL。这可以通过断言使用者服务URL（ACS URL）来实现，例如：

<?xml version="1.0"?>
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
                     validUntil="2022-04-29T14:36:36Z"
                     cacheDuration="PT604800S"
                     entityID="http://sp.example.com/saml">
    <md:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
        <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</md:NameIDFormat>
        <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                                     Location="http://proxy.example.com/saml"
                                     index="1" />
        
    </md:SPSSODescriptor>
</md:EntityDescriptor>

在上面的代码片段中，md:AssertionConsumerService元素的Location属性指定了代理URL，也就是ACS URL。这个URL与SP的URL不同，SP的URL在md:EntityDescriptor元素的entityID属性中指定。请注意保留HTML标签。