Apache WSO2是用于SSO的mod auth mellon

我们正在尝试使用WSO2 IS和Apache+mod auth mellon在不同的Apache之间进行单点登录

这是关于让SSO部分在多个Apache实例之间工作：

我得到了第一个Apache+mod auth mellon与WSO2 IS合作。在WSO2管理员上，我添加了一个身份提供者和一个服务提供者

在登录第一个Apache实例后，我启动了第二个Apache+mod_auth_mellon，并添加了第二个服务提供商，但我发现，为了让登录第二个Apache实例正常工作，我必须添加一个额外的ACS URL，指向WSO2 IS Admin中第一个服务提供商中的第二个Apache，反之亦然

我认为我必须添加的ACS URL是以postResponse结尾的URL

在基于SAML的SSO中，必须将这些交叉ACSE添加到多个服务提供商是正常的要求吗？或者它与mod_auth_mellon和WSO2有关

谢谢，

---

Jim

看起来您的第二个Apache+mod_auth_mellon也从WSO2中选择了相同的服务提供商第一个服务提供商。您可以通过从IS中删除第二个服务提供商并将两个ACS URL保留在一个服务提供商中来确认这一点。如果您仍然可以登录到第二个Apache，则两个Apache都由一个服务提供商提供服务。我不熟悉mod_auth_mellon，但在WSO2方面，没有必要为两个SP添加交叉ACS

---

WSO2根据应用程序在Apache+mod_auth_mellon中发送的SAML请求中的issuer值来决定选择哪个服务提供商。i、 SAML请求中的issuer值应等于SSO服务提供程序配置中的issuer值。如果您需要两个服务提供商配置，您的两个Apache应在请求中发送两个不同的发卡机构值。

非常感谢您的回答和提供的信息。这些信息帮助我重新审视了第二个SP/Apache的配置，我发现了问题所在。在第二个SP的SP metadata.xml文件中，我将第一个Apache的主机名保留为实体id。我修复了这个问题，并且SSO现在即使没有跨ACS URL也可以工作！太好了：真高兴听到这个消息。