【问题标题】:PIngFederate SSO Multiple IdPsPIngFederate SSO Multiple IdPs
【发布时间】:2013-10-07 10:39:30
【问题描述】:

我目前正在使用 PingFederate 软件的评估版并一直在阅读文档,但仍然难以理解如何为我的 SP 创建多个 IdP。

我正在托管服务,并将 PingFederate 设置为 SP。目前在我的测试中,我有一个 IdP,一切正常......我已经设置了 IIS 代理来拦截流量,它重定向到我的 SP 以启动 SP 启动的 SSO,并且一切正常(进入默认 startSSO网址)。

但是,我很难了解如何为多个 IdP 配置系统,并且想知道是否有人可以提供高级概述或指出一些文档?

我知道我必须配置第二个 IdP 连接,并且我需要使用 PartnerIdpId URL 参数来区分用户被发送到哪个 IdP....但我不确定我在哪里进行路由控制/配置到不同的 Idps?我的 IIS 机器上是否需要多个代理来侦听不同的 url,然后可以将请求本身转发到代理配置文件中的正确 SP url (/startSSO?partnerIdpId=XYZ)?

感谢您的帮助, 克雷格

【问题讨论】:

    标签: single-sign-on pingfederate


    【解决方案1】:

    我认为您的问题更多是关于在使用 IIS 集成工具包时如何为多个 IDP 触发 SP-Init SSO。

    如您所见,作为服务提供者,您可以创建多个 IDP 连接(每个都有自己唯一的 EntityID)。您可以通过调用 /sp/startSSO.ping 应用程序端点来触发 SP-Init SSO,并传入与您希望发出 AuthnRequest 的 IDP 的 EntityID 匹配的适当 PartnerIdpId 值。您可以通过以下两种方式之一执行此操作 - 将 URL 硬编码到 IIS Kit pfisapi.conf 文件中,以便每次调用单个实体(不是最佳解决方案),或者您可以手动将 URL 托管在页面上不受 IIS 工具包的保护。不幸的是,这种设计决策很大程度上取决于 IIS 应用程序的设计方式和集成工具包的选择。

    我建议与您的 RSA 讨论这个问题,因为他们可以帮助您展示每个集成套件的优缺点,以匹配最适合您的应用程序和客户的方案。

    HTH, 伊恩 附言 我为 Ping 工作。

    【讨论】:

    • 谢谢伊恩!如果我有一个作为我的 sso 入口点的 URL xyz.com/sso 并且有人在没有 OpenToken 的情况下点击该 URL 并且我希望触发 SP 发起的 SSO,我将不胜感激。只有一个 IdP 是可以的,但是当我有多个 IdP 时,我是否需要单独的代理来监听略有不同的路径?例如,一个代理会收听 xyz.com/sso/client1,然后将 /sp/startSSO.ping?PartnerIdpId=client1 硬编码?我需要对所有 Idps 做同样的事情吗?我想不出另一种方法来区分电话的来源。
    • Craig -- 您只能拥有 1 个 pfisapi.conf 文件,因此每个资源不可能有不同的配置。使用 IDP Persistent Reference Cookie 可能是一种选择,但它需要成功的 SSO 才能以您希望的方式工作。您还可以查看另一个集成工具包(无代理),它可以让您更好地控制使用体验。同样,最好的办法是与您的 Ping RSA 交谈,他们可以帮助概述每个套件的优缺点。
    猜你喜欢
    • 1970-01-01
    • 2014-06-25
    • 1970-01-01
    • 1970-01-01
    • 2015-04-19
    • 2012-10-26
    • 2020-01-03
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多