AD FS 2.0 с PingIdentity / AppFabric Labs ACS

Question

Может быть простой вопрос, я просто ищу кого-то, кто это реализовал.У меня есть AppFabric Labs v2, в настоящее время работающая с сервером AD FS 2.0 с Active Directory, все в порядке, а затем он связывается с AppFabric и перенаправляет его в мое приложение .NET (проверяющая сторона).

Мой вопрос прост - как мне заставить PingIdentity работать с AppFabric и стать поставщиком STS?Я безуспешно пытался импортировать метаданные .XML из системы администрирования PingIdentity.

Это обычный способ для людей присоединить свой сервер AD FS 2.0 к AppFabric, а затем присоединить PingIdentity к своему серверу AD FS 2.0.как поставщик претензий?

Answer 1

PingFed поддерживает WS-федерацию для профиля пассивного реквестера (а также SAML 1.0 / 1.1 и 2.0) OOTB, а также SAML 1.1 и 2.0 для сценариев использования активного профиля (как IDP и SP для активного и пассивного).Я считаю, что ACS не поддерживает SAML 2.0 для PRP, но поддерживает WS-Federation.Я думаю, что ACS поддерживает SAML 2.0 токены только для активного профиля реквестера.

Не должно быть так сложно поменять конечную точку IDP в ACS, но я никогда не смотрел, как этовыполнено.

HTH - Ян

Answer 2

Что произошло, когда вы импортировали метаданные в ACS? Можете ли вы предоставить более подробную информацию о том, что не работает?

Относительно:

Является ли общий маршрут для людей к подключить их сервер AD FS 2.0 к AppFabric, а затем присоединить PingIdentity к их серверу AD FS 2.0 в качестве претензий провайдер?

В любом случае может работать. ACS по-прежнему "лабораторный", поэтому не многие производственные системы были запущены, поэтому с точки зрения реальных случаев вы найдете больше ADFS <-> Ping. Но, опять же, любой из них будет работать, и это один из тех, "это зависит". Я предполагаю, что ваш STS PingIdentity является «провайдером идентификации» (это означает, что он аутентифицирует пользователей), поэтому в целом это будет последний STS в цепочке.

Некоторые вопросы, которые вам нужно задать себе для принятия решения:

• Сколько бы вам понадобилось для преобразования претензий, выданных Ping? Насколько мощные возможности преобразования претензий вам нужны? (ADFS обладает более мощными возможностями преобразования утверждений, чем ACS)
• Какие протоколы поддерживает Ping STS? (WS-Fed? SAMLP ?: ADFS поддерживает SAMLP, ACS еще нет)
• Кому принадлежит этот STS (вы, партнер?). Какой контроль вы имеете над каждым?
• Какую платформу вам удобнее управлять? какую из них вы бы хотели «оставить в покое» как можно больше?

Кроме того, вы пометили этот вопрос как "отвеченный", но, похоже, с этим связан.