OneLogin SSO с умножением idPs

Question

Один из наших клиентов имеет OneLogin в качестве поставщика удостоверений, и нам было предложено внедрить SSO.
Мой вопрос: как я мог реализовать несколько idP (несколько клиентов) на OneLogin, используя один и тот же параметр «вход с OneLogin»?

Спасибо.

Answer 1

Большинство исполнителей либо обрабатывают это через URL-адрес, либо поддомен.

например. customer1.yourservice.com и customer2.yourservice.com или www.yourservice.com/customer1/login www.yourservice.com/customer2/login

Оттуда вы можете узнать, был ли у этого клиента OneLogin включенным IDP и просто (или любой IDP, если это так)

Answer 2

В среде с несколькими арендаторами вы можете увязать каждого арендатора с IdP, вы можете сделать это, связав определенные настройки SAML с арендатором.

Я не знаю, основано ли ваше решение для нескольких арендаторов на разных субдоменах или разных URL-адресах или на основе идентификатора арендатора ... но поскольку вы можете идентифицировать арендатора, вы должны уметь связывать арендатор с определенными настройками SAML и хранить их в базе данных или файле, чтобы получить их позже. У вас должен быть другой идентификатор объекта и URL-адрес ACS для каждого арендатора, чтобы вы могли получить ответ SAML в нужном месте и подтвердить правильные настройки.

Если вы в настоящее время предлагаете 1 уникальную страницу входа для всех ваших арендаторов , вы должны разделить его и предложить пользовательскую страницу входа для каждого арендатора, альтернативой является просто добавить на глобальную страницу входа ссылку «Вход по SAML», которая после щелчка переместит пользователя на страницу «арендатор-поиск», где пользователь должен выбрать, в каком арендаторе он пытается получить доступ. Если идентификатор пользователя уникален для каждого арендатора, вы можете задать его и на его основе определить арендатора (так работает в настоящее время Google).