我们应用程序的租户有自己的子域,例如customer1.domain.com,尽管它是一个代码库。一些租户希望使用saml启动sp启动sso。
最好的办法是什么?
静态共享子域上的simplesamlphp,例如sso.domain.com/saml/
SimpleSamlPHP作为租户的一部分,例如customer1.domain.com/saml/
如果我们选择选项1,我们如何知道传入的saml请求用于哪个租户?
如果我们选择选项2,您建议如何为元数据/authSources配置simplesamlphp,因为它似乎只支持硬编码文件。
谢谢
最佳答案
在我的一个前雇主那里,我们有一个类似于方案2的设置,它对我们很有用。唯一的区别是域对于每个客户机都是唯一的,它们将saml发布到/index.php
客户1
client1.com/index.php
客户2
client2.com/index.php
我们为每个客户机使用一个侦听器来触发saml负载的处理。
我们必须在authsources.php中为每个客户机配置密钥和源名称(每个客户机的源名称都是唯一的)。我们还为每个客户机使用不同的密钥,您也可以为所有客户机使用一个密钥对,但它的安全性较差
我们还必须在saml20-idp-remote.php中为每个客户机配置指纹。