我从使用 ADFS 的客户那里获得了 metadata.xml 文件,并且在将其配置为基于 SAML 的外部 IdP 时遇到了一些问题。这将与 Web 应用程序(LAMP 堆栈,如果相关)集成。
1) 我可以从这个 xml 文件中提取 IdP 颁发者 URI 吗?我在文件中看到了 entityID,类似于“ http://sts.blablaba.com ”。这是同一件事,还是我需要与客户分开获得的东西?这与“依赖方信任 ID”相同吗?
2) 我看到一个<X509Certificate>看起来像公钥的元素。这是我需要验证 saml 消息/断言的签名证书吗?我可以将其复制/粘贴到 .crt 或 .pem 文件中吗?“DigestMethod”、“DigestValue”和“SignatureValue”也存在。
3) 例如,使用 oauth2 流程,由于它从站点开始,我可以将重定向存储在会话中,并根据用户最初尝试访问的内容将其发送到不同的页面。似乎这可以通过 SP 启动的流程来实现,但客户说这将由 IdP 启动。考虑到中继状态看起来像一个静态值,这种类型的登录后动态页面重定向仍然可能吗?