Интеграция аутентификации Django с провайдером корпоративной идентификации PingFederate

Question

Мы разработали веб-приложения в django фреймворке. У нас есть провайдер корпоративной идентификации PingFederate. Главная домашняя страница (которая отличается от нашего сайта) из браузера chrome и граничного браузера непосредственно распознает пользователя и регистрирует его на всех внутренних веб-сайтах. Мы также находимся в той же сети, что и один домен Мы также хотим интегрировать единый вход и аутентифицировать наших пользователей напрямую с помощью запрашиваемого пароля. Я исследовал все где угодно и узнал, что аутентификация происходит с помощью аутентификации kerbose. Каким-то образом ребро или chrome отправляет некоторый токен, идентификатор или билет TGT провайдеру идентификации, затем они аутентифицируются и отправляют имя пользователя обратно в браузер клиента. Может кто-нибудь, пожалуйста, помогите мне, как решить эту проблему.

Заранее спасибо.

Answer 1

Похоже, вы хотите интегрироваться с решением PingFederate, чтобы использовать его в качестве поставщика удостоверений и позволить пользователям ваших веб-приложений входить через единый вход. Если это так, вам нужно будет поработать с тем, кто отвечает за PingFedereate, если это другая команда.

Контрольный список с администратором PingFederate

• Вы бы необходимо знать, нужно ли вам выбирать каталог, который будет использоваться для входа в систему пользователей.
• Какие пользовательские атрибуты вам нужно будет вернуть в ответе SAML.
• Подпишите ли вы SAML запросить использование вашего приложения или нет.
• Запустите ли вы цикл единого входа из своего приложения, что, как я полагаю, будет, и вы будете использовать SP, инициированный в этом случае.

В противном случае все будет наоборот и будет использоваться IDP Initiated.

• Инициировано SP - пользователь сначала вызовет URL-адрес приложения, а затем перенаправится на URL-адрес Ping и будет отправлен обратно в приложение.
• Инициировано IDP - пользователь будет вызывать PingFederate URL-адрес и будет отправлено в приложение после аутентификации.

Я перечислю шаги здесь на случай, если ваша команда также будет отвечать за решение PingFederate:

• Изменения в PingFederate как SP (поставщик услуг) соединение

  1. При необходимости создайте новый адаптер IDP (Identity Provider) для страницы входа.
     1. Адаптер IDP будет использовать для проверки подлинности Password Credential Validator, а также имеет конфигурацию, для которой HTML страницы будут представлены пользователю.
     2. Создайте SP-соединение в Ping с содержимым в контрольном списке.
        1. Соединение здесь будет использовать адаптер на шаге выше для представления страницы входа в систему
        2. Затем проверьте учетные данные пользователя и установите sh сеанс единого входа в случае успеха.
        3. Соберите ответ SAML со всеми необходимыми атрибутами.
        4. Подпишите ответ и отправьте его конечной точке приложения, настроенной внутри соединения.

• Изменения в веб-приложении в качестве поставщика услуг для пользователя

  1. Приложению потребуется отправить запрос SAML в конечную точку нового соединение в Ping.
  2. Дождитесь ответа на выделенной конечной точке.
  3. Проверьте подпись ответа SAML с помощью ключа publi c сервера PingFederate.
  4. Создайте локальное приложение сеанс и двигаться дальше.

Если вы будете использовать OpenToken, это изменится, чтобы иметь другое взаимодействие Адаптер-Адаптер. Просто ответьте, если это так.