将 Django 身份验证与企业身份提供者 PingFederate 集成

Question

我们在 django 框架中开发 Web 应用程序。我们有一个企业身份提供者，它是 PingFederate。 chrome浏览器和边缘浏览器的主页（与我们的网站不同）直接识别用户并将其登录到所有内部网站。我们也在同一个网络上共享同一个域。我们还希望集成 SSO，并希望通过询问密码直接对我们的用户进行身份验证。我研究了每一个地方，并通过 kerbose 身份验证了解了身份验证。不知何故，边缘或 chrome 正在向身份提供者发送一些令牌或 ID 或一些 TGT 票证，然后他们将进行身份验证并将用户名发送回客户端浏览器。谁能帮我解决这个问题。

提前致谢。

Answer 1

我解决了这个问题并写了一篇关于它的文章。请随时查看该文章。 https://medium.com/@manishkumar.bobbili3/how-i-integrated-ping-identity-with-django-web-framework-for-single-sign-on-sso-9be21b953bc5

Answer 2

听起来您想与 PingFederate 解决方案集成以将其用作身份提供者并允许您的 Web 应用程序的用户通过 SSO 登录。如果是这种情况，如果是另一个团队，您将需要与负责 PingFederate 的人合作。

PingFederate 管理员核对清单

• 您需要知道是否需要选择用于登录用户的目录。
• 您需要在 SAML 响应中取回哪些用户属性。
• 您是否会使用您的应用签署 SAML 请求。
• 您是否会从您的应用程序启动 SSO 周期，我相信您会这样做，并且您将使用在这种情况下启动的 SP。

否则，它将反过来使用 IDP Initiated。

• SP 启动 - 用户将首先调用应用程序 URL，然后重定向 到 Ping URL 并被发送回应用程序。
• IDP 发起 - 用户将调用 PingFederate URL 并在身份验证后发送到应用程序。

我将在此处列出步骤，以防您的团队也负责 PingFederate 解决方案：

• PingFederate 作为 SP（服务提供商）连接的变化

  1. 如果需要，为登录页面创建一个新的 IDP（身份提供者）适配器。
     1. IDP 适配器将使用密码凭据验证器进行身份验证，并且还具有要向用户显示的 HTML 页面的配置。
     2. 使用检查列表中的内容在 Ping 中创建 SP 连接。
        1. 这里的连接会使用上一步中的适配器来呈现登录页面
        2. 然后检查用户凭据，如果成功则建立 SSO 会话。
        3. 使用所有必需的属性组装 SAML 响应。
        4. 签署响应并将其发送到连接内配置的应用程序端点。

• 作为用户服务提供者的网络应用的变化

  1. 应用程序需要将 SAML 请求发送到 Ping 中新连接的端点。
  2. 等待专用端点上的响应。
  3. 使用 PingFederate 服务器的公钥验证 SAML 响应签名。
  4. 创建本地应用会话并继续。

如果您将使用 OpenToken，这将更改为有另一个适配器到适配器的交互。如果是这种情况，只需回复即可。