多个ACS url

Question

我们使用PingFederate进行SSO，并且SP已经启动。而平联邦会表现得像国内流离失所者一样。对于应用程序，有两个For服务器(为了高可用性)

我的问题是: 1.我们能否提供两个默认url (在控制台中，只有一个url可以设置为默认值)。在本例中，我们可以提供两个逗号分隔的urls)。

1. 可以加载均衡器url为ACS url提供。

谢谢!

Answer 1

我认为您希望在SP元数据中发布断言使用者服务URL，因为它是特定于服务提供者的。

对于SP支持的特定绑定，您可以拥有唯一或相同的ACS端点，并且端点必须了解响应wrt到来自IdP的绑定。此外，可以对ACS端点进行索引，并且可以将任何端点设置为元数据中的默认值。示例：

 <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://sts.contoso.com/adfs/ls/" index="0" isDefault="true" />
    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact" Location="https://sts.contoso.com/adfs/ls/" index="1" /> 
    <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://sts.contoso.com/adfs/ls/" index="2" /> 

只要IdP可以从外部到达SP服务器，您就可以使用负载均衡器URL。

Answer 2

正如您在PingFederate管理控制台中所指出的，您可以指定多个ACS，但是只有一个是默认的URL。每个ACS URL都分配一个索引号。

使用IdP启动的SSO，如果没有提供ACSIdx查询参数，默认的ACS将用于发送SAML断言。此查询参数指定要使用哪个ACS URL。当使用该参数时，它将将SAML断言发送到与索引相关联的ACS，如PingFederate管理控制台中所示。

使用SP发起的SSO，如果服务提供者应用程序发送一个签名的AuthnRequest，则ACS可以是动态的。根据SAML规范，SP发起的SSO可以发送一个ACS，身份提供者(在本例中是PingFederate IdP)将使用该URL来传输SAML断言。因此，请求服务器指定如何返回由AuthnRequest服务器签名和信任的PingFederate IdP服务器。