Может ли кто-нибудь сказать мне, как передать RelayState для инициированного IDP-соединения. У нас работает SSO, но мы хотим глубоко привязать страницу к приложению поставщика услуг. Они проинструктировали нас о передаче RelayState, но я не могу понять, как отформатировать URL для Okta. Мы используем встроенную ссылку приложения и хотели бы добавить RelayState в строку запроса.Okta IDP Initiated RelayState
Для запуска ИДЛ, инициированного SAML с помощью Okta, вам необходимо использовать URL-адрес единого входа IdP с добавлением ?RelayState= к URL-адресу, а не URL-адрес приложения.
Вы можете найти URL-адрес URL-адреса IdP, нажав «Просмотреть инструкции по установке» на вкладке «Вход» для приложения в консоли администратора.
Пример (не забудьте URL закодировать строку запроса): https://thomas-kirk.oktapreview.com/app/salesforce/kqk5e18ZGRXWPQXOCNBQ/sso/saml?RelayState=%2F_ui%2Fcore%2Fchatter%2Fui%2FChatterPage
Для IdP инициирована SSO (где логин к IdP первым, то доступ к SP), вы можете изменить RelayState под General SAML настройки, такие как:
Обратите внимание, что URL-адрес приложения embed предназначен только для ИОП, инициированного только для SSO, его нельзя использовать для инициированного SP SSO в качестве его идентификатора единого входа IdP.
Когда пользователь обращается к SP напрямую (без первого входа в IdP), он запускает SSO с инициатором SP. Здесь вы можете добавить ?RelayState=your_deep_link к URL-адресу единого входа IdP, чтобы после входа в IdP он возвращал глубокую ссылку обратно в SP для перенаправления.
И как @Thomas Kirk сказал: «Вы можете найти URL-адрес URL-адреса IdP, нажав« Просмотреть инструкции по установке »на вкладке« Вход »для приложения в консоли администратора».
Что происходит с relayState, установленным SP в SP-Initiated SSO, если Okta устанавливает его? Сбрасывается ли он только на null? (отказ от новичка - я узнаю, как глубокие ссылки работают с SAML прямо сейчас) – anpatel
«Состояние реле по умолчанию», установленное Okta, не повлияет на релеState, установленное SP в SP-Initiated SSO-потоке. –
Я предполагаю, что вы имели в виду «прилагается к URL-адресу приложения для встраивания». BTW, это главным образом случай. Иногда вам нужно использовать FireFox и SAML Tracer для извлечения фактического SAML-url Okta (это не всегда URL-адрес приложения), и этот URL-адрес обычно заканчивается на «/ sso/saml». Если ваш URL приложения embed не заканчивается на «/ sso/saml», я предлагаю использовать SAML Tracer для проверки «реального» URL-адреса Okta (URL-адрес приложения embed или другой URL-адрес, на который перенаправляется URL-адрес приложения). –
@RaphaelLondner благодарит за исправление типографии! Кроме того, я думаю, что опечатка вызвала путаницу в том, что я предлагал. Если приложение является SAML, всегда должен отображаться URL-адрес идентификатора единого входа IdP, нажав «Просмотреть инструкции по установке» на вкладке «Вход» для приложения в консоли администратора. Я не предлагаю использовать URL приложения embed. Если он не указан там (по какой-либо причине), вы правильно используете сетевую трассировку для обнаружения URL-адреса. –