设置:
我的 Web 应用程序有 OpenAM + OpenDJ 与联合服务器交互,以便通过 SAML2 提供 SSO 服务。有权访问我的应用程序的用户列表是 OpenDJ 的一部分。
这个怎么运作-
当用户第一次启动链接并且应用程序确定他没有登录时,用户将被重定向到 IDP URL 以进行身份验证。IDP 通过公开的消费者 URL 提供 SAML2 响应。在收到 SAML2 响应时,我的应用程序确定用户是否是我的 LDAP 的一部分,因此是否允许访问,如果他有访问权限,则显示主页。
问题
当用户不是我的 LDAP 的一部分时,我想抛出一个拒绝访问页面,但是,我发现 OpenAM 会向我的 URL 抛出带有 goto 参数的默认 IDP 启动的登录页面。
我尝试配置成功和失败 URL,但它导致应用程序无法完全访问。甚至 IDO 登录屏幕也不会显示用户。
是否需要设置属性或配置才能使 OpenAM 显示拒绝访问页面而不是 IDP 登录?