帶mod_auth_mellon的動態回調URL pingfederate

Question

我們使用mod_auth_mellon配置了我們的SPA，並且SP啓動的設置運行良好。 我們現在想要添加動態路由到啓動SSO SAML調用的SPA URL的功能。

下面是電流流動

1. 用戶打開URL http://foo.com/user/1
2. 會話已過期，所以SP發起握手SSO和重定向用戶IDP（坪聯邦成員）。在IDP和認證成功後
3. 用戶登錄被重定向到http://foo.com/sso_callback

在步驟（3）我們現在要回重定向到http://foo.com/user/1。 我應該在SP/IDP配置中進行哪些配置更改以啓用動態路由？

Answer 1

如果您使用的是SAML 2.0，那麼您需要使用RelayState。在步驟2中創建AuthN請求時，您需要確保您作爲服務提供商包含您所需的RelayState。你提供的IDP進行的RelayState值會通過交易來進行，並在第3步還給你作爲一個URL參數，當用戶發至您的ACS @http://foo.com/user

下面是一個例子流量：

1. 用戶打開URL http://foo.com/user/1
2. 會話已過期，所以SP將用戶重定向到IDP與AuthN令牌和http://foo.com/user/1
3. IDP驗證用戶
4. IDP直銷的的RelayState值請求用戶向SP ACS @http://foo.com/sso_callback發送SAMLResponse令牌，並且還包括RelayState的其他URL參數
5. SP在ACS消費和驗證SAMLResponse，如果成功，則將現在處於活動狀態的會話用戶重定向到包含的值在的RelayState參數

上關的機會，你是不是做SP的init SSO，並且，而不是做一個普通的重定向到IDP發起從的PingFederate SSO網址，你可以在URL參數TargetResource添加到您的IDP發起的SSO重定向然後再用SAMLResponse接收它。