Default RelayState для Google for Work Приложение SAML

Question

Я пытаюсь настроить BIME Analytics в качестве поставщика услуг (SP) для использования Google for Work в качестве поставщика удостоверений личности SAML (IdP).

Следуя инструкциям на https://support.google.com/a/answer/6087519?hl=en Я могу выполнить аутентификацию, инициированную SP. Это означает, что если я нахожусь на странице https: //.bime.io/portal и нажимаю кнопку входа в систему SAML, я перенаправляюсь на страницу входа в систему Google, и после ввода моих учетных данных Google for Work я могу получить доступ к моей странице портала BIME.

К сожалению, я не могу заставить аутентификацию, инициированную IdP, работать. То есть, например, из Gmail, если я открою приложение для запуска приложений и нажимаю на значок моего приложения BIME SAML, он приведет меня в BIME без каких-либо проблем с проверкой подлинности, но затем я получаю ошибку BIME, не найденную.

Поддержка BIME была способна определить, что это связано с тем, что я не отправлял значение параметра RelayState, которое им требуется. Когда я начинаю с BIME, я нахожусь на их веб-странице, и есть скрытое значение RelayState, которое отправляется в Google, чтобы сообщить ему, куда мне отправить после входа в систему. Однако, когда я начинаю с Google, это значение не установлено , Поддержка BIME смогла настроить соединение в Okta, потому что Okta имеет поле «Default RelayState», в котором они могут жестко указывать значение.

Для приложений Google SAML, как указать значение RelayState по умолчанию, чтобы включить аутентификацию IdP в приложении SAML?

Answer 1

Вчера я взглянул на страницу настройки ИСП SAML в G Suite и заметил, что есть необязательное поле «Пуск URL».

Я также заметил в help documentation to configure pre-integrated SAML applications, что поле «Стартовый URL» часто используется.

С настраиваемыми частями IdP ответа являются:

• SAMLResponse с утверждением (в том числе "URL Assertion Consumer Service" и "Entity ID" полей страницы конфигурации G Люкс)
• параметра RelayState

Я должен был предположить, что «Стартовый URL», скорее всего, является полем для хранения параметра RelayState. Учитывая, что RelayState является необязательной, но важной и часто используемой частью интеграции SAML, это имеет большой смысл. Он также объясняет, почему поле является необязательным, и непосредственно под полями ACS и Entity ID.

This Oracle blog post ссылки поле Start URL и предлагает один из его использования должно содержать непредусмотренное значение RelayState:

Необязательно вводить URL Start для Google IdP инициированных операций SSO, , где пользователь нажмет на Партнер приложения SAML в Google до будет перенаправлен на приложение в OAM: это будет защищенный URL-адрес приложения или незапрашиваемое состояние ретрансляции.

Так что пока я не могу проверить себя на данный момент, я думаю, можно с уверенностью сказать, что это поле «Начало URL» - это то, что вы ищете, чтобы установить значение RelayState.

Answer 2

RelayState URL вы ищете

https://www.google.com/a/[DOMAIN]/ServiceLogin?continue=https://mail.google.com

Подробнее here