Мы пытаемся внедрить единый вход, используя OneLogin в качестве IdP с нашим кластером Cisco Call Manager, используя единое соглашение для всех серверов в кластере.
Это просто означает, что наш файл метаданных содержит отдельный тег AssertionConsumerService для каждого сервера в кластере.
Однако мы сталкиваемся с проблемой, когда в ответе SAML пункт назначения не распознается как действительный.
Мой вопрос: в случае использования нескольких ACS, как должно выглядеть поле назначения в ответе SAML?Нужно ли IdP распознавать, от какого потребителя поступил запрос, и динамически менять адрес назначения в ответе, чтобы он был правильным для конкретного потребителя?
Сейчас ответ SAML выглядит примерно так:
<samlp:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Destination="https://<CUCM_2>:8443/ssosp/saml/SSO/alias/<CUCM_2>https://<CUCM_2>:8443/ssosp/saml/SSO/alias/<CUCM_2>https://<IMP_1>:8443/ssosp/saml/SSO/alias/<IMP_1>https://<IMP_1>:8443/ssosp/saml/SSO/alias/<IMP_1>https://<CUCM_1>:8443/ssosp/saml/SSO/alias/<CUCM_1>https://<CUCM_1>:8443/ssosp/saml/SSO/alias/<CUCM_1>" ID="pfx117d2cec-f554-1fba-ff86-8db77b497e35" InResponseTo="s2ded98fb1a7423ea7bb1fcc95cf5c57ae3bf19684" IssueInstant="2019-02-18T16:06:06Z" Version="2.0">
и мы получаем тот же беспорядок для атрибута Recipient в SubjectConfirmationData