我目前正在尝试设置测试,以测试我的应用程序的SP启动的SSO。此测试将在不同的环境中运行,尤其是在kubernetes中,其中收件人/目的地URL将是动态的并且不同(即:http://localhost:5000/sso,https://k8s-server-1.com/sso,https://k8s-server-2.com/sso等(
我已经研究了OKTA和OneLogin的免费开发者帐户,它们似乎都不支持动态ACS URL。除了编写某种模拟SAML IDP的投资时间之外,我还有其他资源可以用来测试SP启动的SSO流吗?
ACS url是安全性的一部分。如果有人可以用任何ACS url欺骗SAML请求,他们可以将属性发送到任何地方。它与OIDC中的replyUrl概念相同。每个有效的都需要在SP元数据中注册。
如果您知道所有ACS URL,则可以将它们添加到IdP使用的SP元数据中。每个使用index。
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="http://localhost:5000/sso" index="0" isDefault="true" />
<AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://k8s-server-1.com/sso" index="1" isDefault="false" />