SSOにPingFederateを使用しています。私のアプリケーションはSPとして機能しており、SPによって開始されたSSOを試しています。署名されたPingFederateにSAMLRequestを送信しています。ただし、SAMLRequest9authnRequestに記載されているACSURLにSAML応答を送信していません。
デフォルトのアサーションコンシューマURLが取得されず、SAMLRequestで送信されたものが使用されるように設定を手伝ってもらえますか?
SSOにPingFederateを使用しています。私のアプリケーションはSPとして機能しており、SPによって開始されたSSOを試しています。署名されたPingFederateにSAMLRequestを送信しています。ただし、SAMLRequest9authnRequestに記載されているACSURLにSAML応答を送信していません。
デフォルトのアサーションコンシューマURLが取得されず、SAMLRequestで送信されたものが使用されるように設定を手伝ってもらえますか?
[更新しました}
あなたが SP で、PF が IDP ですか?PF は、Assertion Consumer Service URL をローカル メタデータにリストする必要があり (PF は 1 つの SP に対して複数の ACS URL を保持できます)、ACSIndex (PF で構成されている) または ACSURL 値を指定する必要があると思います。
SAMl 2.0 Core ドキュメントでは、AuthnRequest に AssertionConsumerServiceIndex または AssertionConsumerServiceURL を含める方法について概説しています。
- イアン
詳細を教えていただけますか?
IDP と SP として PF を使用しているようですね。SP-Init SSO でデフォルト以外の ACS URL を使用するように PF (IDP) する場合は、AuthnRequest で ACS URL の ACSIndex を指定する必要があります。PF (SP) は、startSSO.ping アプリケーション エンドポイントに追加することで、AuthnRequest に含める特定の ACSIndex を指定できます。
ACSIndex が PF (IDP) 構成にリストされていない場合、SP は (仕様に従って) AuthnRequest に署名し、代わりに使用する ACSIndex を指定する必要があります。
それが理にかなっている場合、またはこれを行う方法についてさらに情報が必要な場合はお知らせください。
- イアン
PingFederate は自動的に RelayState を (IDP として) 維持し、AuthnRequest で正しく送信している場合は (仕様に従って) アサーションと共にそれを返します。これを実現するために PF 内で行う必要があることは何もありません。
あなたがそれを正しく送信していること、そして PF があなたから受け取った値をログに記録していることを確認します。