我想为我的多租户应用程序配置 SAML SSO。到目前为止,我发现我们可以让多个 SAML2Clients 具有单独的回调 URL,我们可以在请求中发送这些 URL,以便 IDP 将响应发布到调用正确租户的端点。
为此,我看到有人配置多个租户,例如:tenant1.myapp.com/tenant2.myapp.com/,这将有助于检测用户想要访问哪个租户。
但就我而言,无法检测用户想要访问哪些租户。我目前在登录页面上输入用户名、密码和组织名称。所以在 SAML 请求之前没有办法知道用户想去哪里。
有没有其他型号可以满足我的需要?我正在考虑在 IDP 级别设置一个附加属性,它会告诉 SP 用户可以访问哪个组织,但不确定这是否是个好主意。