使用 ADFS，SAMLResponse 不会发送到 SAMLRequest [authnRequest] 中出现的 ACS URL

Question

我最初在使用 pingFederate 服务器时遇到了同样的问题，当时我在 idpInit SSO 端点中使用 acsIdx 属性作为查询字符串，我的问题得到了解决。

我想问 ADFS 中是否也有类似的属性，设置该属性后会将 saml 响应发送到所需的 ACS URL，而不是默认的。

另外，我想知道，如果我在 samlRequest 中设置assertionConsumerURL，即使 authnRequest 未签名，ADFS 是否也能够将响应发送到该 URL。

Answer 1

我认为 ADFS (RP-STS) 不可能在 AuthnRequest 中包含不同的 ACS URL 或 ACSIndex。在使用 ADFS 时，我从未见过这种类型的修改是可能的。

似乎可以让 ADFS（作为 IP-STS）根据 AuthnRequest 中的 ACS URL 或 ACS 索引向超过 1 个 ACS URL 发送断言，只要它们列在中继方信任端点列表中即可。但是，根据规范，如果未列出 ACS URL 并且 SP 未签署 AuthnRequest，则 ADFS 应拒绝 AuthnRequest，因为该 AuthnRequest 不合规。

HTH-伊恩