AssertionConsumerServiceURL из AuthnRequest не из Config

Question

Заметил, что Saml2AuthnResponse Destionation установлен на основе relyingParty.SingleSignOnDestination, который извлекается из «конфигурации» (массива relyingParties с жестким кодом).

Я думаю, что Destination должно основываться на том, что установлено в AuthnRequest samlp:AuthnRequest -> AssertionConsumerServiceURL, и использовать relyingParty Destination, возможно, как запасной вариант, если его нет в AuthnRequest , но из того, что я вижу, каждый AuthnRequest содержит URL ACS.

Или есть причина, почему это реализовано таким образом?

Спасибо

Answer 1

Это часть безопасности только для воспроизведения известных URL / доменов. Поэтому важно настроить relyingParty.SingleSignOnDestination для каждой проверяющей стороны.

Чтобы иметь URL-адрес динамического ответа, вы можете расширить код, чтобы убедиться, что authnRequest.AssertionConsumerServiceUrl начинается со значения в relyingParty.SingleSignOnDestination.

например. значение в relyingParty.SingleSignOnDestination может быть "https://somedomain.com" и тем самым принимаем различные authnRequest.AssertionConsumerServiceUrl как "https://somedomain.com/auth/AssertionConsumerService" или" https://somedomain.com/acs"