发起 SAMLv2 SP：一个服务提供商和多个身份提供商

Question

我需要使用一个具有多个身份提供商（idps）的服务提供商，每个 idp 通过使用子域（即 http:// /subdomain1.mysite.com 连接到 idp1，http://subdomain2.mysite.com 连接到idp2 等，那么我的断言消费者服务 URL 看起来像这样 https://mysite.com/SAML/AssertionConsumerService.aspx< /a>.

问题是我需要知道 AssertionConsumerService.aspx 代码中的响应来自哪个 idp，以便我可以加载正确的证书。我尝试过发行者、响应目的地和其他方式，但没有成功。

有谁知道从响应和/或最佳实践中区分国内流离失所者的好方法？或者有一个标准的方法来做到这一点？

我正在使用 http://www.componentspace.com/Products/SAMLv20.aspx

Answer 1

在我们的系统中，我们有一个代表客户端的实体（我们称之为“服务域”），并要求客户端通过名称来标识该实体，作为 Issuer 元素值或 Issuer SPProvidedID 属性值。我们端 (SP) 上的 SAML 配置与该“服务域”实体相关联，包括用于验证其数字签名的公钥证书等。

我想说使用 Issuer 值比尝试关闭子域更合适。

Answer 2

正如您所注意到的，如果所有 IDP 具有相同的 ACS URL，则断言中的目标将始终相同。

每个 IDP 至少应该（必须？）有自己独特的发行人，如果他们每个人都有自己签署的公共证书的话。根据我的经验，PingFederate 和其他服务器确保在验证响应时加载正确的配置信息。不知道为什么发行人在这种情况下也不适合您。

您可能会遇到这样的情况：来自同一家公司的“不同”IDP 可能会向您发送具有相同颁发者和不同 DSIG 证书和属性声明的响应，但在大多数情况下这种情况实际上不应该发生。

华泰
伊恩