Портал Azure: SSO инициировал вход в систему с внешним провайдером

Я успешно настроил Azure для работы с внешним IdP в соответствии с https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-fed-saml-idp Однако, если я пытаюсь сделать инициированный IdP вход в систему, кажется, что служба SSO https://login.microsoftonline.com не разбирает RelayState соответственно http://docs.oasis-open.org/security/saml/Post2.0/sstc-saml-tech-overview-2.0-cd-02.html#5.1.4.IdP-Initiated%20SSO:%20%20POST % 20Binding | очертание

Если я использую инициированный IdP URL для входа в систему:

https://my-sso-idp.cloud/saml2/idp/SSOService.php?spentityid=urn:federation:MicrosoftOnline&RelayState=https://portal.azure.com

логин работает нормально, но потом я перенаправляю на https://www.office.com/?auth=2&home=1

Если я наконец наберу https://portal.azure.com на той же вкладке браузера я могу получить доступ к порталу Azure, так как уже успешно вошел в систему через единый вход.

Кто-нибудь знает, почему Microsoft SSO игнорирует аргумент RelayState?

Ура Джонас

В настоящее время мы сталкиваемся с более или менее той же проблемой. Мы всегда оказываемся на сайте office.com после перенаправления входа с URL-адреса клиента Keycloak SAML. Мы попробовали некоторые тесты со смарт-URL, как описано здесь: http://www.enowsoftware.com/solutions-engine/using-smart-links-to-improve-the-login-process-to-office-365-applications но, к сожалению, эти URL игнорируются login.microsoft.com, если вход в систему осуществляется через POST, что является случаем, когда Keycloak обрабатывает федеративный вход в систему.

Однако наше решение было: Если пользователь нажимает на вашу страницу и запрашивает имя входа Azure, мы открываем URL-адрес клиента Keycloak Azure Samle в скрытом фрейме. Если фрейм загружен (и перенаправлен на Office.com), мы отправляем пользователя на portal.azure.com, который теперь имеет действительные учетные данные для входа в систему и будет входить в систему. Немного хакерский, но работает нормально.