使用 PingFederate，SAMLResponse 不会发送到 SAMLRequest9authnResquest 中出现的 ACS URL）

Question

我正在使用 PingFederate 进行 SSO。我的应用程序充当 SP，并且我正在尝试 SP 发起的 SSO。 我正在向 PingFederate 发送 SAMLRequest，该请求已签名。但它不会将 SAML 响应发送到 SAMLRequest9authnRequest 中提到的 ACS URL。

您能否帮我进行设置，以便不选择默认断言 Consumer URL，而是使用 SAMLRequest 中发送的 URL？

Answer 1

[更新}

那么您是 SP，PF 是 IDP？ PF 需要在本地元数据中列出您的断言消费者服务 URL（PF 可以为单个 SP 保存多个 ACS URL），并且我相信您需要指定 ACSIndex（如 PF 中配置）或 ACSURL 值。

SAMl 2.0 Core 文档概述了如何在 AuthnRequest 中包含 AssertionConsumerServiceIndex 或 AssertionConsumerServiceURL。

--Ian

---

你能提供更多细节吗？

听起来您正在使用 PF 作为 IDP 和 SP？如果您希望 PF (IDP) 使用默认的 ACS URL 而非 SP-Init SSO，则需要在 AuthnRequest 中指定 ACS URL 的 ACSIndex。 PF (SP) 可以通过将特定的 ACSIndex 附加到 startSSO.ping 应用程序端点来指定要包含在 AuthnRequest 中的特定 ACSIndex。

如果 ACSIndex 未在 PF (IDP) 配置中列出，SP 必须签署 AuthnRequest（根据规范）并指定要使用的 ACSIndex。

让我知道这是否有意义，或者您需要更多有关如何执行此操作的信息。

——伊恩

Answer 2

如果您使用 AuthnRequest 正确发送它，PingFederate 将自动维护 RelayState（作为 IDP）并返回断言（根据规范）。您无需在 PF 内执行任何操作即可实现此目的。

我会确保您正确发送它，并且 PF 正在记录从您那里收到的值。