Мы создали шлюз федерации, который поддерживает SAML 2.0, и используем его для аутентификации пользователей в настраиваемом домене, который мы зарегистрировали в Azure Active Directory.
Пользователи могут войти в любой из порталы Microsoft 365 и портал Azure, когда они переходят по этим URL-адресам напрямую и поток аутентификации переносит их на login.microsoftonline.com, а затем они перенаправляются нашему провайдеру идентификации в потоке инициированного входа SAML SP. После входа они перенаправляются обратно на login.microsoftonline.com, а затем на порталы, к которым они впервые перешли (например, portal. azure .com).
В рамках нашего более широкого решения мы имеем Требование выполнить вход, инициированный Idp, и отправить запрос SAML на login.microsoftonline.com и установить для параметра RelayState кодированное значение URL-адреса, на который мы хотим, чтобы пользователь перенаправлялся после входа в систему на login.microsoftonline.com. завершено. Это в соответствии со спецификацией SAML, изложенной здесь: https://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.html#5 .1.4.Idp-Initiated% 20SSO:% 20% 20POST% 20Binding | outline
Знак входа работает точно так, как ожидается, но независимо от того, какое значение мы отправляем в параметре RelayState, пользователь всегда перенаправляется на www.office.com.
Кто-нибудь еще сталкивался с этой проблемой и / или знает правильное значение RelayState для отправки для выполнения правильного перенаправления после вход завершен на login.microsoftonline.com?