Почему для подключения PingFederate IdP требуется адаптер SP?

Question

Я прочитал документацию PingFederate и там написано:

Адаптер SP используется для создания сеанса локального приложения для пользователя. чтобы PingFederate® предоставил SSO доступ к вашим приложениям или другие защищенные ресурсы. Вы должны настроить хотя бы один экземпляр адаптера SP для настройки соединений с партнерами IdP. Вы Можно также настроить несколько экземпляров адаптеров (на основе одного или дополнительные адаптеры) для удовлетворения различных потребностей ваших партнеров IdP.

Но я не понимаю, почему для подключения IdP требуется адаптер SP? Почему это требуется и что оно действительно делает?

В моем случае использования я использую PingFederate в качестве сервера OAuth и аутентифицирую пользователей через SSO, инициированную SP, для внешних IDP, а затем в OAuth Attribute Mapping соединения я сопоставляю атрибуты Assertion непосредственно в постоянный грант. Почему этого недостаточно, я не понимаю необходимость адаптера SP? Как и кто должен ссылаться на адаптер больше, чем на само соединение IdP?

Answer 1

Вы абсолютно правы, в некоторых случаях (например, у вас) SP-адаптер не нужен.

Под вашим подключением IdP, под SSO браузера> Создание пользовательской сессии> Отображение личности есть опция «Нет сопоставления», которая позволяет избежать необходимости сопоставления с адаптером SP. Для получения более подробной информации см .: https://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId=adminGuide%2FselectingIdentityMappingMethod.html

Опция «No Mapping» была введена в PingFederate 8.1, поэтому, если вы используете более раннюю версию, она может быть недоступна. В этом случае «фиктивный» адаптер SP должен быть подключен к вашему соединению (даже если он не может быть использован).