我们在最后设置了一个 OpenSSO (OpenAM) 实例,以作为服务提供商 (SP) 工作。到目前为止,它在 SP 发起的 SSO 场景中运行良好,但是,我最近不得不为 IDP 发起的场景设置它,但无法让它成功运行。解释一下,在这种情况下,IDP 想将 SAMLResponse 直接发送到我端的 Assertion 消费者服务,我们的 OpenAM 实例应该能够成功消化响应并将用户发送到我们的底层应用程序。我的问题是:
除了在 IDP 和我们 (SP) 之间交换/上传元数据之外,在这种情况下是否需要任何其他配置?
我可以将 iDP 的元数据上传到与当前在 SP 启动方案中工作的其他 IDP 相同的 COT 中吗?还是每个 IDP 提供者都应该有一个新的 COT?
我应该向 IDP 提供哪个 URL 以将 SAMLResponse 发送到?是我们元数据中的 AssertionConsumerService index="1" isDefault="true" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" 吗?几天前我尝试了这个,OpenAM 报告了一个错误——“这不是这个请求的正确消费者服务”或其他东西。