Добавьте Shibboleth SP к арендатору в WSO2 Identity Server

Question

У меня странное поведение для этого варианта использования: WSO2 IS с арендатором (арендатором A) и поставщиком услуг Shibboleth, добавленным в арендатора (SaaS НЕ выбран, поэтому SP должен быть виден только арендатору). Shibboleth SP имеет метаданные IDO wso2 и сертификаты на месте и правильные. Конфигурации выполняются через карбоновую консоль. Навигация по URL, защищенному Shibboleth SP, вызывает странное поведение:

Я перенаправлен на tenantDomain = carbon.super и (правильно) журналы wso2 говорят мне, что мой SP не зарегистрирован.

TLDR: я не могу найти способ уведомить домен арендатора в SSO, инициированном SP, между Shibboleth SP и WSO2 IS. Это поведение предназначено? спасибо

здесь метаданные резидента IDP wso2 IS. Это было сгенерировано с помощью кнопки «загрузить метаданные» в консоли wso2. Затем это было скопировано в Shibboleth SP.

<?xml version="1.0" encoding="UTF-8"?>
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://iam01.com">
    <IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol" validUntil="2019-01-24T14:47:48.803Z">
        <KeyDescriptor use="signing">
            <KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
                <X509Data>
                    <X509Certificate>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</X509Certificate>
                </X509Data>
            </KeyInfo>
        </KeyDescriptor>
        <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://iam01.com:9443/samlsso" ResponseLocation="https://iam01.com:9443/samlsso"/>
        <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified</NameIDFormat>
        <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://iam01.com:9443/samlsso"/>
        <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://iam01.com:9443/samlsso"/>
    </IDPSSODescriptor>
</EntityDescriptor>

Answer 1

Попробуйте изменить URL-адреса с iam01.com:9443/samlsso в iam01.com:9443/samlsso?tenantDomain=tenantA.com

в документе метаданных SAML.