WSO2是单点登录的mod-auth-mellon

Question

我们正在尝试使用WSO2 IS和Apache+mod-auth-mellon在不同的Apache之间进行单点登录。

这是关于让SSO部分在多个Apache实例之间工作：

我得到了第一个使用WSO2的Apache+mod-auth-mellon。在WSO2管理员上，我添加了身份提供程序和服务提供程序。

在使用第一个Apache实例登录后，我建立了第二个Apache (+mod_auth_mellon)，并添加了第二个服务提供商，但我发现，为了让登录到第二个Apache实例工作，我必须在第一个服务提供商(在WSO2中是Admin)中添加一个指向第二个Apache的额外ACS，反之亦然。

我想我必须添加的ACS是以"postResponse“结尾的那个。

这(必须将这些“交叉”ACSes添加到多个服务提供商)是基于SAML的“正常”要求吗？或者是mod_auth_mellon和WSO2有什么特殊之处呢？

谢谢，吉姆

Answer 1

看起来你的第二个Apache (+mod_auth_mellon)也从WSO2中选择了相同的服务提供商(第一个服务提供商)。您可以通过从IS中删除第二个服务提供商并将两个ACS URL保留在一个服务提供商中来确认这一点。如果你仍然可以登录第二个Apache，这两个都是由一个服务提供商提供服务的。我不熟悉mod_auth_mellon，但从WSO2的角度来看，没有必要为两个SP添加交叉ACSs。

WSO2根据应用程序(在您的例子中为Apache+mod_auth_mellon)发送的WSO2请求中的颁发者的值来决定选择哪个服务提供商。即SAML请求中的颁发者值应等于SSO服务提供商配置中的颁发者值。如果您需要两个Service Provider配置，您的两个Apaches应该在请求中发送两个不同的颁发者值。