我们的一位客户将 OneLogin 作为身份提供者,我们被要求实施 SSO。
我的问题是,如何使用相同的“使用 OneLogin 登录”选项在 OneLogin 上实现多个 idP(少数客户端)?
谢谢。
2 回答
2
大多数实现者要么通过 url 要么通过子域来处理这个问题。
例如 customer1.yourservice.com 和 customer2.yourservice.com 或 www.yourservice.com/customer1/login www.yourservice.com/customer2/login
从那里您可以知道该客户是否启用了 OneLogin 作为 IDP,并且只是自动执行 SAML 流(或任何 IDP,就此而言)
于 2016-09-20T19:52:57.163 回答
1
在多租户环境中,您应该能够将每个租户与 IdP 链接,您可以通过将特定 SAML 设置链接到租户来实现。
我不知道您的多租户解决方案是基于不同的子域、不同的 url 路径还是基于租户 ID...但是由于您能够识别租户,您应该能够将租户与特定的SAML 设置,并将它们存储在数据库或文件中,以便以后能够获取它们。您必须为每个租户使用不同的实体 ID 和 ACS URL,以便您能够在正确的位置接收 SAML 响应并使用正确的设置进行验证
如果您当前为所有租户提供 1 个唯一登录页面,您应该拆分它并为每个租户提供一个自定义登录页面,另一种方法是在全局登录页面上添加一个“通过 SAML 登录”链接,单击后将移动用户到“发现租户”页面,用户应该在其中选择他试图访问的租户。如果每个租户的用户 ID 是唯一的,您可以询问它并根据它识别租户(这就是 Google 当前的工作方式)。
于 2017-01-10T08:55:59.343 回答