OneLogin複数のidPを持つSSO

Question

私たちのクライアントの1人はIDプロバイダとしてOneLoginを持っており、SSOの実装を依頼されました。
私の質問は、OneLoginに同じ "sign in with OneLogin"オプションを使用して、複数のidP（いくつかのクライアント）をOneLoginに実装する方法ですか？

ありがとうございました。

Answer 1

ほとんどの実装者は、urlまたはsubdomainのどちらかを使ってこれを処理します。

customer1.yourservice.comとcustomer2.yourservice.comまたはwww.yourservice.com/customer1/login www.yourservice.com/customer2/login

そこから、その顧客がIDPが有効になっているのでOneLoginが有効かどうかを知ることができます

Answer 2

マルチテナント環境では、各テナントをIdPにリンクすることができます。特定のSAML設定をテナントにリンクすることで可能です。

マルチテナントソリューションが異なるサブドメイン、または異なるURLパスまたはテナントIDに基づいているかどうかはわかりませんが、テナントを特定できるため、テナントに特定のSAML設定を適用して、データベースまたはファイルに保存して後で取得できるようにします。適切な場所でSAMLレスポンスを受け取り、適切な設定で検証できるように、テナントごとに異なるエンティティIDとACS URLが必要です

現在、すべてのテナントに1つの固有のログインページを提供している場合それを分割してテナントごとにカスタムログインページを提供する必要があります。代わりに、グローバルログインページに「SAMLによるログイン」リンクを追加するだけです。クリックすると、ユーザーが「発見テナント」ページに移動し、ユーザー彼がアクセスしようとしているテナントを選択する必要があります。ユーザーIDがテナントごとに一意の場合は、それを尋ねることができ、それに基づいてテナントを特定することができます（これは現在のGoogleの仕組みです）。