带mod_auth_mellon的动态回调URL pingfederate

Question

我们使用mod_auth_mellon配置了我们的SPA，并且SP启动的设置运行良好。 我们现在想要添加动态路由到启动SSO SAML调用的SPA URL的功能。

下面是电流流动

1. 用户打开URL http://foo.com/user/1
2. 会话已过期，所以SP发起握手SSO和重定向用户IDP（坪联邦成员）。在IDP和认证成功后
3. 用户登录被重定向到http://foo.com/sso_callback

在步骤（3）我们现在要回重定向到http://foo.com/user/1。 我应该在SP/IDP配置中进行哪些配置更改以启用动态路由？

Answer 1

如果您使用的是SAML 2.0，那么您需要使用RelayState。在步骤2中创建AuthN请求时，您需要确保您作为服务提供商包含您所需的RelayState。你提供的IDP进行的RelayState值会通过交易来进行，并在第3步还给你作为一个URL参数，当用户发至您的ACS @http://foo.com/user

下面是一个例子流量：

1. 用户打开URL http://foo.com/user/1
2. 会话已过期，所以SP将用户重定向到IDP与AuthN令牌和http://foo.com/user/1
3. IDP验证用户
4. IDP直销的的RelayState值请求用户向SP ACS @http://foo.com/sso_callback发送SAMLResponse令牌，并且还包括RelayState的其他URL参数
5. SP在ACS消费和验证SAMLResponse，如果成功，则将现在处于活动状态的会话用户重定向到包含的值在的RelayState参数

上关的机会，你是不是做SP的init SSO，并且，而不是做一个普通的重定向到IDP发起从的PingFederate SSO网址，你可以在URL参数TargetResource添加到您的IDP发起的SSO重定向然后再用SAMLResponse接收它。