У меня есть сторонняя программа, которая поддерживает единый вход в Интернет с использованием SAML 1.1 (другими словами, она готова служить в качестве поставщика услуг).
Мы хотели бы внедрить этот единый вход для наших пользователей в интрасети на основе их учетных данных Active Directory. Другими словами, они уже вошли в свою систему, поэтому давайте просто используем эти учетные данные для упрощения единого входа. Я немного ошеломлен тем, с чего начать.
Первоначально я думал, что IIS / Active Directory может легко служить в качестве поставщика удостоверений, поскольку IIS предоставляет нам возможности «встроенной аутентификации Windows». Я думаю, что мы могли бы просто создать веб-приложение .NET, которое требует встроенной аутентификации, которое просто извлекает текущий идентификатор пользователя, создает ответ SAML и перенаправляет пользователя обратно к поставщику услуг с этим ответом SAML для завершения единого входа.
Но тогда моя проблема в том, что у меня просто нет реального представления о том, как создать этот ответ SAML, задействованы сертификаты X.509 и т. Д. Мне интересно, не надумал ли я над этим, или если создание этого ответа SAML должно быть относительно простым.
Обратите внимание, что этот единый вход должен использоваться только пользователями интрасети, поэтому не нужно беспокоиться о федерации с другими компаниями / доменами.