带有 PingIdentity / AppFabric Labs ACS 的 AD FS 2.0答案

【问题标题】：AD FS 2.0 with PingIdentity / AppFabric Labs ACS带有 PingIdentity / AppFabric Labs ACS 的 AD FS 2.0
【发布时间】：2011-04-06 10:23:15
【问题描述】：

可能是一个简单的问题，我只是在寻找真正实现此功能的人。我有 AppFabric Labs v2 目前正在使用带有 Active Directory 的 AD FS 2.0 服务器，这很好，然后链接到 AppFabric，并路由到我的 .NET 应用程序（依赖方）。

我的问题很简单 - 如何让 PingIdentity 与 AppFabric 一起工作并成为 STS 提供商？我尝试从 PingIdentity 管理系统导入 .XML 元数据，但没有任何乐趣。

人们将他们的 AD FS 2.0 服务器附加到 AppFabric，然后将 PingIdentity 作为声明提供程序附加到他们的 AD FS 2.0 服务器的常用途径吗？

【问题讨论】：

标签： c# .net asp.net wif pingfederate

【解决方案1】：

将元数据导入 ACS 时发生了什么？你能提供更多关于什么不起作用的细节吗？

关于：

是人们常用的途径将他们的 AD FS 2.0 服务器附加到 AppFabric，然后附加 PingIdentity 到他们的 AD FS 2.0 服务器作为声明供应商？

任何一种方式都可以。 ACS 仍然是“实验室”，所以没有多少生产系统上线，所以在实际案例中，你会发现更多的 ADFSPing。但是，同样，任何一个都可以工作，这是“取决于”的其中之一。我假设您的 PingIdentity STS 是“身份提供者”（意味着它对用户进行身份验证），所以通常它是链中的最后一个 STS。

在做出决定时需要问自己一些问题：

转换 Ping 发出的声明需要多少费用？您需要多强大的索赔转换能力？（ADFS 具有比 ACS 更强大的索赔转换功能）
Ping STS 启用哪些协议？（WS-Fed？SAMLP？：ADFS 支持 SAMLP，ACS 还不支持）
谁拥有此 STS（您，合作伙伴？）您对每个 STS 拥有多少控制权？
您更愿意管理哪个平台？你想尽可能地“离开”哪一个？

另外，您将this question 标记为“已回答”，但它似乎与此相关。

【讨论】：

这实际上可能是问题所在，我可以获得 PingIdentity STS FederationMetaData XML 文件，但是在导入它时会出现错误“无法加载信息”或类似的错误，其中没有很多网上有关于的信息。虽然这是一个 SAML 导出......如果 ACS 不支持这个，那么这正是原因。您已经回答了我的问题，尽管 PingIdentity 可以耦合到 AD FS 2.0，然后再耦合到我的 ACS...我想这是使用仍在实验室中的即将推出的软件的乐趣。
我认为 Ping 也支持 WS-Federation。 ACS 可以做到这一点（这就是它用于 ADFS 集成的方法）。但是……我可能弄错了。

【解决方案2】：

PingFed 支持被动请求者配置文件（以及 SAML 1.0/1.1 和 2.0）OOTB 的 WS-Federation 以及主动配置文件用例的 SAML 1.1 和 2.0（作为主动和被动的 IDP 和 SP）。我相信 ACS 不支持 PRP 的 SAML 2.0，但它支持 WS-Federation。我认为 ACS 仅支持活动请求者配置文件的 SAML 2.0 令牌。

在 ACS 中更换 IDP 端点应该不难，但我从未研究过这是如何完成的。

HTH——伊恩

【讨论】：

@thedixon - 如果您在 Ping 上使用 WS-Federation，那么您应该能够成功运行它。 ACS 在所有配置文件中都支持 SAML1.1 和 2.0 tokens（连同“Simple Web Tokens”）。