SAML-连接到一个IDP应用程序的多个服务提供商实例

Question

对于SaaS应用程序的SSO，我有一个不寻常的方案。这是Java/Spring/Spring-Saml WebApp。我想将第二SAML SSO IDP介绍给我的WebApp，并为客户端帐户提供一个IDP，一个用于支持帐户的IDP。

与概述一样，我们有许多单租车服务器实例（client1.acme.com，client2.acme.com等）。这些是不同物理服务器上不同的tomcat实例。可以通过Spring-SAML为客户端用户帐户配置每个服务器。通常，这连接到MS AD。

这可以正常工作，但是现在我想在每个服务器中配置第二个IDP，以控制我们的支持人员的访问。第二个IDP将是MS AD或Google Workspace。我想在所有实例中仅配置一个IDP中的一个应用程序。

这甚至可能吗？我知道我可以轻松地配置具有Spring Security的多个IDP。但是我的每个服务器实例都将具有不同的SAML EntityID和URL，那么甚至可以将它们映射到IDP中的一个应用程序中吗？

任何想法或方法欢迎。

Answer 1

如果我正确理解您的方案，最好将IDPS设置与代码分开。有不同的方法将不同的IDP连接到指定的IDP，该IDP可以用作单个访问点，将身份验证委托给了连接的IDP。例如，您可以尝试ADFS（ https://learn.microsoft.com/en-us/windows-server/Indentity/Add-fs/technical-reference/dechnical-reference/understanding-key-ad-fs-concepts-concepts ）甚至是keycloak）甚至是keycloak角色。