В среде с несколькими арендаторами вы можете увязать каждого арендатора с IdP, вы можете сделать это, связав определенные настройки SAML с арендатором.
Я не знаю, основано ли ваше решение для нескольких арендаторов на разных субдоменах или разных URL-адресах или на основе идентификатора арендатора ... но поскольку вы можете идентифицировать арендатора, вы должны уметь связывать арендатор с определенными настройками SAML и хранить их в базе данных или файле, чтобы получить их позже. У вас должен быть другой идентификатор объекта и URL-адрес ACS для каждого арендатора, чтобы вы могли получить ответ SAML в нужном месте и подтвердить правильные настройки.
Если вы в настоящее время предлагаете 1 уникальную страницу входа для всех ваших арендаторов , вы должны разделить его и предложить пользовательскую страницу входа для каждого арендатора, альтернативой является просто добавить на глобальную страницу входа ссылку «Вход по SAML», которая после щелчка переместит пользователя на страницу «арендатор-поиск», где пользователь должен выбрать, в каком арендаторе он пытается получить доступ. Если идентификатор пользователя уникален для каждого арендатора, вы можете задать его и на его основе определить арендатора (так работает в настоящее время Google).
Если OneLogin - это IdP, то это единый объект для вашего единственного клиента (приложений SP). Что вы здесь делаете? – Zeigeist
Предположим, что у клиента1 есть учетная запись OneLogin и customer2. Оба idP. Мы SP. Я хотел бы создать SSO для отображения «connect with OneLogin» вместо «connect with customer1» и «connect with customer2». Является ли это возможным? Может быть какой-то способ динамически вывести метаданные? – Anton