SAML 2.0 Ausgangs-URLs für den Identitätsanbieter
In einer föderierten Umgebung können speziell formatierte URLs für vom Benutzer initiierte Single-Sign-On-Vorgänge über den Identitätsanbieter verwendet werden.
- SSO-Service
- SLO-Service
- Name Identifier Management-Service
Erst URL des Single-Sign-On-Dienstes
Leitet den Single-Sign-On-Prozess beim Identitätsanbieter ein. Die Syntax des Befehls „ URL “ lautethttps://{tenantName}/saml/sps/saml20ip/saml20/logininitial
?RequestBinding=RequestBindingType
&PartnerId=target_partner_provider_ID
&NameIdFormat=NameIDFormatType
&Target=target_application_location
&AssertionConsumerSvcIndes=AssertionConsumerSvcIndex- RequestBindingType
- Die Bindung, die verwendet wird, um die Anforderung an den Service-Provider zu senden. Der gültige Wert beim Auslösen des Single Sign-On beim Identitätsanbieter lautet HTTPPost
- target_partner_provider_ID
- Die Provider-ID des Zielpartners.
- NameIdFormatType
- Das für Namenskennungen zu verwendende Format der Namens-ID. Gültige Werte sind:
- Vorübergehend (anonym)
- Persistent
- Zielort der Anwendung
- Dieses Element ist URL-codiert und als Wert des Parameters RelayState in der nicht angeforderten Antwort definiert, die vom Identitätsprovider an den Service-Provider übermittelt wird. Ein Service-Provider interpretiert diesen Wert als URL der Anwendung, bei der sich ein Benutzer mithilfe der einmaligen Anmeldung anmelden kann.
- AssertionConsumerSvcIndex
- Gibt den Index der Assertion Consumer Service-URL, an die der Identitätsprovider die Antwort sendet. Der Wert muss dem Endpunkt in den Serviceanbieter-Metadaten entsprechen.Hinweis: Wenn sowohl ResponseBinding als auch AssertionConsumerSvcIndex angegeben sind, hat Letzteres Vorrang.
Beispiel für eine Single-Sign-On- URL, die beim Identitätsanbieter initiiert wird
Das folgende Beispiel zeigt die SSO-URL, wenn die einmalige Anmeldung bei einem Identitätsprovider mit dem SAML 2.0-Protokoll eingeleitet wird.AssertionConsumerSvcIndex verweist auf den Index der Assertion Consumer Service-URL (ACS-URL), an die die Antwort gesendet werden soll.https://{tenantName}/saml/sps/saml20ip/saml20/logininitial
?RequestBinding=HTTPPost
&NameIdFormat=persistent
&PartnerId=https://sp.example.com:433/samlsp/sps/saml20/saml20
&Target=https://sp.example.com:9443/banking
&AssertionConsumerSvcIndex=0Dienst für die einmalige Abmeldung – Start- URL
Starten Sie den SLO-Prozess beim Identitätsanbieter. Die Syntax der URL lautet:https://{tenantName}/saml/sps/saml20ip/saml20/sloinitial
?RequestBinding=RequestBindingType- RequestBindingType
- Die Bindung, die verwendet wird, um die Anforderung zu senden. Die zulässigen Werte sind
- HTTPPost
- HTTPRedirect
Beispiel für eine Single-Logout- URL, die beim Identitätsanbieter initiiert wird
https://{tenantName}/saml/sps/saml20ip/saml20/logininitial
?RequestBinding=HTTPPostErste Schritte mit dem Dienst zur Verwaltung von Namenskennungen URL
Wird vom Partner verwenden, um den Name Identifier Management-Server zu kontaktieren. Die Syntax des Befehls „ URL “ lautethttps://{tenantName}/saml/sps/saml20ip/saml20/mnidsinitial
?RequestBinding=RequestBindingType
&PartnerId=target_partner_provider_ID
&NameIdTerminate=name_ID_terminate_value
- RequestBindingType
- Die Bindung, die verwendet wird, um die Anforderung zu senden. Die zulässigen Werte sind
- HTTPPost
- HTTPRedirect
- target_partner_provider_ID
- Die Provider-ID des Zielpartners.
- name_ID_terminate_value
- Ein Wert, der angibt, ob der Workflow für Namens-ID-Management die Namens-ID-Zuordnung
beenden muss. Gültige Werte sind:
true: Beendet die Kontenverknüpfung.false: Zeigt an, dass der Name-ID-Flow die Namensbezeichner (Aliase) aktualisiert. Wenn Sie keinen Wert explizit angeben, ist der Standardwert „false“.
Beispiel für die vom Identitätsanbieter initiierte Verwaltung von Namens-IDs
https://\{tenantName}/saml/sps/saml20ip/saml20/mnidsinitial
?RequestBinding=HTTPPost
&PartnerId=https://sp.example.com:443/samlsp/sps/spfed/saml20
&NameIdTerminate=true