Назад | Перейти на главную страницу

Вход SAML с разных URL

У меня есть приложение, в котором мы недавно реализовали использование SAML для аутентификации. Для большинства наших клиентов все пользователи получают доступ к приложению из одной страны. Это просто, так как есть один URL.

Однако некоторые из наших клиентов, работающих по всему миру, используют разные URL-адреса в зависимости от своего местоположения для доступа к одному и тому же приложению. например

Пользователи из Великобритании используют customer1.ourcompany.co.uk
Пользователи из США используют customer1.ourcompany.com

Оба эти URL-адреса ведут к одному и тому же экземпляру приложения на одном сервере IIS.

Все эти виды использования могут проходить аутентификацию с использованием одного и того же сервера ADFS, но их необходимо перенаправить обратно на .co.uk или .com, в зависимости от того, с какого исходного URL-адреса пришел пользователь.

Это возможно? Если да, то как лучше всего это реализовать?

Дополнительная информация: Среда на базе Windows. Всегда инициируется SP

Менеджер также думал об использовании другого gTLD (например, outcompany.app) для некоторых клиентов. Это будет другой URL-адрес, который необходимо перенаправить, как указано выше.

Пока я не тестировал это, я думаю, вы можете попробовать следующее:

  1. В отличие от пользователей из Великобритании и США, вы можете использовать разные суффиксы UPN, адреса электронной почты или любые другие.

  2. Создайте два траста проверяющей стороны, настройте URL-адрес Великобритании в первом и URL-адрес США во втором (или в любом другом порядке, который вы предпочитаете).

  3. Измените правила утверждения авторизации по умолчанию для каждого отношения доверия с проверяющей стороной. Разрешить только те входящие заявки, которые имеют правильное значение, например суффикс UPN, совпадающий с соответствующим расположением. Несовпадающие утверждения будут отклонены этим правилом, будут разрешены только совпадающие значения, а проверяющей стороне будет выдан токен безопасности.