Single sign on SAML 2（Ping联邦成员）IdP是否应该访问AssertionConsumerServiceURL？

我们正在使用SSO构建一个网站，我们位于SP端，无法控制IdP。我们将有多个环境，包括本地开发服务器

问题是外部世界无法访问AssertionConsumerServiceURL（它可能类似于127.0.0.1/xyz），我被告知这是一个问题，因为IdP需要向该服务器发出POST请求

但是，据我所知，只有用户需要能够访问SP，并且SP和IdP之间没有直接通信（因为用户是中继）

请说明IdP是否需要直接访问SP“AssertionConsumerServiceURL”？

---

如果是这样，本地开发环境应该如何处理？

对于基于浏览器的SSO（对于重定向和后期绑定），SP用户需要能够访问ACS URL。只要您拥有IdP的凭据（在许多情况下不太可能，除非您控制双方），并且可以自己进行端到端测试（例如，您公司的“测试工具”），那么您就需要向用户提供ACS URL/SP应用程序。

我们被“IdP方”强制设置一个可公开访问的URL但我们也通过修改系统“hosts”文件，在本地机器上用我们的SP对其进行了测试，我可以确认它工作正常。谢谢你的回答。