我有一个应用程序,我们最近实施了使用 SAML 进行身份验证。对于我们的大多数客户来说,他们的所有用户都从同一个国家/地区访问该应用程序。这很简单,因为只有一个 URL。
但是,我们的一些全球客户根据其位置使用不同的 URL 来访问同一个应用程序。例如
英国用户使用 customer1.ourcompany.co.uk
美国用户使用 customer1.ourcompany.com
这两个 URL 都指向同一 IIS 服务器上的同一应用程序实例。
这些用途可能都使用同一个 ADFS 服务器进行身份验证,但需要重定向回 .co.uk 或 .com,具体取决于用户来自哪个原始 URL。
这可能吗?如果可以,实现这一目标的最佳方法是什么?
其他信息:基于 Windows 的环境。始终启动 SP
经理还考虑为一些客户使用另一个 gTLD(即 outcompany.app)。这将是另一个需要重定向的 URL,如上所述。
答案1
虽然我还没有测试过,但我认为您可以尝试以下操作:
区分英国用户和美国用户,您可以使用不同的 UPN 后缀、电子邮件地址后缀或任何其他后缀。
创建两个依赖方信任,在第一个中配置英国 URL,在第二个中配置美国 URL(或您喜欢的任何其他顺序)。
编辑每个依赖方信任上的默认授权声明规则。仅允许具有正确值的传入声明,例如与相应位置匹配的 UPN 后缀。此规则将拒绝不匹配的声明,仅允许匹配的值,并向依赖方颁发安全令牌。