私は、SAML 2.0とブラウザSSOを使用して別のIDPに接続するようにSPを設定しています。私はすべての設定を終えましたが、どのようにIDPにアサーションを送ることができるか、またはそれを知ることができません。 IDPは通常、アサーションをSPに送り返しませんか? IDPのACS URLに移動すると、これらのSAMLアサーションがないため、ログインページにアクセスできません。IDPにアサーションを送信するようにSPを設定する(PingFederate SAML 2.0)
私の具体的な使用例は、PingFederateから設定しています。
ありがとうございます!
あなたは正しい - IdPはアサーションをSPに戻します。 SPは認証要求でIdPに何らかのデータを送信できますが、通常はそれはパートナーIDだけであり、まれにサブジェクト/ユーザー名がIdPに認証を要求していることを伝えます。
「IdPのACS URLへのナビゲート」は、エンドユーザーのブラウザが通常行うべきことではありません。 ACS URLは、アサーションがIdPから送信されるプロトコルエンドポイントです。多くの場合、ブラウザによって自動的に送信され、ユーザの代わりにIdPによって開始されるHTTP POSTを介して送信されます。
SPがPingFederateからIdPに認証要求を送信するようにするには、SPアプリケーションエンドポイント(つまり/sp/startSSO.ping)を使用できます。これらのエンドポイントはここに記載されています:https://documentation.pingidentity.com/pingfederate/pf90/index.shtml#concept_spServices.html#concept_spServices