SAMLv2 SPが開始しました：1つのサービスプロバイダと複数のIDプロバイダ

Question

idp1に接続するサブドメインを使用してidpが接続されている複数のアイデンティティプロバイダ（idps）を持つ1つのサービスプロバイダを使用する必要があります。http://subdomain1.mysite.com idp1に接続し、http://subdomain2.mysite.comをidp2などに接続します。私のアサーション・コンシューマー・サービスのURLはhttps://mysite.com/SAML/AssertionConsumerService.aspxのようになります。

問題は、正しい証明書でロードできるように、私はAssertionConsumerService.aspxコード内の応答が何であるかを知る必要があります。私は、発行者、応答先、そして運がない他の手段を試しました。

レスポンスやベストプラクティスのIDpsを区別する良い方法を知っている人はいますか？あるいはこれを行う標準的な方法はありますか？あなたはすべての国内避難民のために同じACS URLを持っている場合、その先には常にアサーションで同じになり、気づいてきたように、私は

Answer 1

、我々はクライアントを表すエンティティを持っている（私たちは、「サービスドメイン」それを呼び出す）、クライアントが発行者要素の値として、またはいずれかの名前で、そのエンティティを識別することを要求Issuer SPProvidedID属性値。私たちのエンド（SP）上のSAML構成は、例えば、デジタル署名を検証するための公開鍵証明書を含むその「サービスドメイン」エンティティに関連付けられています。

私は、発行者の値を使用する方がサブドメインをキーオフするよりも適切だと言います。

Answer 2

http://www.componentspace.com/Products/SAMLv20.aspxを使用してい

。

各IDPには、署名している独自の公開証明書もそれぞれ持っていれば、少なくとも独自の発行者が必要です（必要があります）。私の経験上、PingFederateと他のサーバーは、応答の検証時に正しい構成情報をロードしていることを確認します。なぜこのような状況でも発行者があなたのために働かない理由は不明です。

同じ会社の「異なる」IDPが同じ発行者と異なるDSIG証明書とAttributeStatementで回答を送信している可能性がありますが、ほとんどの場合そのようなことは起こりません。

HTH 私たちのシステムではイアン