4

アプリのテナントには、customer1.domain.com などの独自のサブドメインがありますが、これは 1 つのコード ベースです。一部のテナントは、SAML を使用して SP が開始する SSO を必要としています。

これを実現するための最良のアプローチは何ですか?

  1. sso.domain.com/saml/ などの静的共有サブドメインの SimpleSAMLphp
  2. テナントの一部としての SimpleSAMLphp (例: customer1.domain.com/saml/)

オプション 1 を選択した場合、着信 SAML 要求がどのテナントに向けられているかをどのように知ることができますか?

オプション 2 を選択する場合、ハードコードされたファイルのみをサポートしているように見えるため、メタデータ/認証ソース用に SimpleSAMLphp をどのように構成することをお勧めしますか?

ありがとう

4

2 に答える 2

0

私の元雇用主の 1 つで、オプション 2 に似た設定があり、うまく機能しました。唯一の違いは、ドメインがクライアントごとに一意であり、SAML を /index.php に投稿したことです。

クライアント 1

client1.com/index.php

クライアント2

client2.com/index.php

クライアントごとにリスナーを使用して、SAML ペイロードの処理をトリガーしました。

クライアントごとに authsources.php でキーとソース名 (ソース名はクライアントごとに一意) を構成する必要がありました。また、クライアントごとに異なるキーを使用しました。すべてのクライアントに 1 つのキー ペアを使用することもできますが、安全性は低くなります。

また、クライアントごとに saml20-idp-remote.php でフィンガープリントを構成する必要がありました。

于 2015-09-08T17:06:25.063 に答える