次の認証フローをサポートする必要があります
ユーザー 1 は、Salesforce 資格情報を使用して Salesforce にログインします
ユーザ 2 は Arcot +Ping + Siteminder クレデンシャルを使用して Salesforce にログインします
ユーザ 2 は Arcot + Ping + Siteminder クレデンシャルを使用してカスタム アプリケーションにログインします
上記の認証方法はすべて SAML であるため、認証フローの異常な「メッシュ」であるホーム レルムの検出に対処する方法を見つける必要があります。
質問
このシナリオを処理するには、IDP と RP をどのように設定すればよいですか?
ホーム レルムの検出はどのように機能しますか?
組織で [私のドメイン] がセットアップされ、SAML 2.0 がセットアップされており、認証されていないページ要求を適切な認証ソースにルーティングしようとしていると仮定します。
元の認証されていないリクエストではユーザー 1 と 2 を区別できないため、「ユーザー名/パスワードでログインさせてください」または「シングル サインオンでログインします」などのユーザー入力を求めるインタースティシャル ページが必要になります。SAML 設定の [Identity Provider Login URL] セクションでこのページをポイントします。ユーザーがユーザー名/パスワードを選択した場合は、ユーザーを私のドメインのログイン ページにリダイレクトし、そこで un/pw でログインします。SSO を選択した場合は、IDP に送信し、SAML Request と RelayState を伝達して SAML プロトコルを開始します。
同様に、カスタム アプリへの認証されていないリクエストは、SAML を開始するために IDP にリダイレクトする必要があります。カスタム アプリケーションは、Salesforce の内部 (別のタブセットとして) にありますか、それとも Salesforce の外部でホストされていますか? カスタム アプリが Salesforce とは別のものである場合、2 つの RP (salesforce 用に 1 つ、このカスタム アプリ用に 1 つ) を持つように ID プロバイダーをセットアップする必要があります。カスタム アプリが Salesforce 内にある場合、ユーザーは Salesforce とカスタム アプリにアクセスする意図をどのように表明しますか?