Интеграция Keycloak с Pingfederate

Question

То, что я хочу сделать, это:

У меня есть клавиатура, интегрированная с моим приложением.Поэтому, когда мое приложение запускается, пользователю показывается страница входа в систему keycloak.Теперь я пытаюсь предоставить возможность входа с помощью PingFedrate.Таким образом, появляется кнопка для входа в систему с помощью PingFed (после настройки нового поставщика SAML в keycloak).На PingFedrate я попытался интегрировать SSO, инициированную SP:

Я добавил новое соединение SP, и там я настроил его как SSO, инициированную SSP.(Это заставило меня настроить аутентификацию SOAP, где я выбрал основной и настроенный случайный пароль пользователя).Затем я скачал metatdata.xml с этого SP и импортировал в keycloak, который автоматически заполнял URL-адрес для входа в систему: https://myserver:9031/idp/SSO.saml2 (т.е. без идентификатора клиента).После этого, когда пользователь нажимает кнопку Войти с помощью PingFed - PingFed выдает следующую ошибку:

Неожиданная системная ошибка Приносим извинения за неудобства.Обратитесь за помощью к администратору и предоставьте приведенный ниже ссылочный номер, чтобы помочь найти и устранить проблему.

Answer 1

Я нашел решение для этого.

Во-первых, нам нужно добавить SSO, инициированный SP, в Pingfed для keycloak.

Во-вторых, причина, по которой я не мог заставить SSO, инициированную SP, заключалась в том, что entityId ключевого пламени должен совпадать с I / Entity Entity Id / Connection Entity ID партнера Pingfed.

Keycloak, по умолчанию сохраняет идентификатор объекта равным URL-адресу сервера keyloak, содержащего ваше царство.Например,

https://(keycloak -сервер) / auth / realms / (имя-царства)

(и я не смог найти способизмените его с помощью Keycloak UI)

Вам необходимо ввести этот URL-адрес в Pingfed.

Чтобы избежать добавления этого вручную, вы можете загрузить конфигурацию keycloak со страницы загрузки экспорта поставщика удостоверений.

И на Pingfed импортируйте этот файл.

на сторонеобратите внимание, хотя я импортировал его ранее, я изменял значение идентификатора Partenr на другое имя, так как не знал о вышеупомянутых ограничениях, пока не начал декодировать токены SAML в запросе.