SAML認証とカスタムリダイレクトURL

Question

私たちはアプリケーションでSAMLベースのSSO認証を実装しようとしていますが、SAML経由でカスタムリダイレクトURLを指定できるかどうかは疑問です。言い換えれば、アイデンティティプロバイダ内に単一のサービスプロバイダをコンフィグレーションし、SAMLリクエストを介してサービスプロバイダに、アイデンティティプロバイダがログイン後にユーザをリダイレクトする場所を指定することはできますか？

私たちがこのようなものを探している理由は、アプリケーションが開発段階（dev、test、staging、prod）によって異なるサーバー上で動作するためです。 SAML SSOに移行するすべての単一アプリケーションについて、アイデンティティプロバイダに4つの個別のサービスプロバイダエントリを設定する必要がない場合は、素晴らしいことです。

Answer 1

各SPにはSAMLResponseが検証される独自のアサーションコンシューマサービスエンドポイントがあります。

SPが行うチェックの1つは、SAML応答が正しいACSエンドポイントに送信されたことを検証するため、テストサーバーでプロダクトサーバー用に構築されたSAML応答を処理できないことです。

1つの一意のSPエンドポイントですべてのSAMLResponsesを処理する場合は、「RelayState」パラメータを使用してSPからIdPに指示して、ACSでSAMLResponseを処理した後にユーザーをリダイレクトする処理されたデータを最終エンドポイントに送信するための安全な/標準的な方法がないため、すべての環境で読み取り可能なグローバルセッションを設定します。

すべての環境で読み取り可能なグローバルセッションを設定できない場合は、すべてのSPをIdPに登録する必要があります。