mod_auth_mellon pingfederate动态回调URL

Question

我们用mod_auth_mellon配置了SPA，SP启动的设置工作得很好。现在，我们希望添加动态路由到SAML的功能，SAML启动了SAML调用。

下面是当前的流

1. 用户打开URL http://foo.com/user/1
2. 会话已过期，因此SP发起SSO握手，并将用户重定向到IDP (Ping Federate)。
3. 在IDP上和成功身份验证后的用户登录被重定向到callback

在步骤(3)中，我们现在要重定向到http://foo.com/user/1。我应该在SP / IDP配置中进行哪些配置更改以启用动态路由？

Answer 1

如果您使用的是SAML2.0，那么您希望使用RelayState。在步骤2中创建AuthN请求时，您需要确保作为服务提供者的您包含所需的RelayState。当用户发布给您的ACS @ RelayState时，您提供给IDP的RelayState值将通过事务传递给您，并作为URL参数返回给您。

下面是一个示例流：

1. 用户打开URL http://foo.com/user/1
2. 会话已过期，因此SP使用AuthN令牌和RelayState值http://foo.com/user/1将用户重定向到IDP。
3. IDP认证用户
4. IDP指示用户向SP @ callback发送一个callback令牌，并且还包括RelayState的一个附加的URL参数
5. SP在ACS上使用和验证SAMLResponse，如果成功，则将现在活动的会话用户重定向到RelayState参数中包含的值。

如果您没有执行SP init，而是从PingFederate对IDP启动的SSO执行一般重定向，您可以将Url参数TargetResource添加到您的IDP启动的SSO重定向，然后在稍后使用SAMLResponse接收它。