1. дома
  2. Вопрос и ответ
  3. ADFS 2.0 IDP-Initiated SSO

ADFS 2.0 IDP-Initiated SSO

2013-04-26 3 views
1

Я пытаюсь настроить тестовую конфигурацию для IdentityProvider-Initiated SSO с использованием ADFS 2.0 в качестве моего RP STS и поставщика идентификации SAML 2.0. Вот моя настройка:ADFS 2.0 IDP-Initiated SSO

Идентификатор поставщика - маркер выпуска SAML 2.0 с использованием плагина ComponentSpace SAML v2.0 .NET.

RP STS - экземпляр ADFS 2.0 с отношениями доверия RP с моим приложением asp.net.

Приложение RP - веб-приложение ASP.NET (WIF) с ссылкой STS на мою ADFS 2.0 STS.

Так происходит, что пользователь регистрируется на веб-сайте поставщика удостоверений и аутентифицируется. Затем им предоставляется ссылка на RP STS. Эта ссылка (из того, что я понимаю) должна использовать RelayState, чтобы сообщить RP STS, к какому приложению нужно перенаправить пользователя. Я знаю, что мне нужно создать какое-то доверие между ADFS и моим IP-порталом, но я не знаю, что это может быть. Моя проблема: я не могу найти никаких хороших ресурсов для инструкций о том, как это сделать. Большая часть того, что я считаю, предполагает, что ADFS также является поставщиком удостоверений и настроен как конечная точка SAML 2.0. Это то, что я пытаюсь сделать невозможным, или я просто не нахожу правильные ресурсы?

Спасибо!

источник

2013-04-26 JGC

+0

Вы найдете эту [справочную страницу SAML] (http://www.componentpro.com/doc/saml/IdP-Initiated-Web-Applications.htm), имеющую некоторую информацию о Idp-intiated. [ultimate saml] (http://www.componentpro.com/saml.net/) имеет несколько примеров, демонстрирующих SSO с инициализацией Idp. – alexey

ответ

0

Необходимо настроить доверие поставщика требований в ADFS, указывающее на ваш поставщик удостоверений. В своем поставщике удостоверений настройте RP-трафик обратно в ADFS.

Также веб-приложение ASP.NET должно использовать ADFS, поскольку это STS.

И претензии должны быть установлены как сквозные.

См: ADFS 2.0 By Example - Part1: ADFS as IP-STS and R-STS

Update:

На стороне IP, то это их проблема. На вашей стороне настройте доверие вручную.

Refer: ADFS : SAML configuration parameters.

Эти вопросы относятся непосредственно к входным параметрам.

Вам необходимо экспортировать ключ подписывания токенов ADFS (нет необходимости экспортировать закрытый ключ) и отправить их им. Им нужно отправить вам свой сертификат. После того как вы настроили доверие вручную, перейдите на вкладку сертификата и импортируйте свой сертификат.

источник

2013-04-28 19:34:39 nzpcmad

+0

Спасибо! Я думал, что именно так нужно настроить ADFS. Я просто не знаю, как я должен настроить доверие, когда IP-адрес не принимает файл FederationMetaData.xml и не может предложить его обратно в ADFS. Я знаю, что вы можете настроить доверие вручную, но насколько это должно выглядеть доверие, я в темноте. Я также не знаю, какие сертификаты нужно обменивать. – JGC

+0

Я проголосовал за этот ответ, потому что кажется, что ссылки теперь несуществующие, а содержащаяся в них информация отсутствовала в ответе. В то время как цитирование источников поощряется, важно разместить соответствующую информацию из источника в ответе именно для такого сценария, где источники будут мертвы. – Thomas

0

несколько месяцев назад я задал этот вопрос:

  1. Мы создали испытательный полигон, где мы использовали технику форм-аутентификацию для аутентификации любого пользователя, требуется маркер аутентификации для авторизации любого пользователя по применению.
  2. Итак, для создания этого токена мы должны связаться с поставщиком удостоверений (IP), чтобы получить аутентифицированные данные пользователя.
  3. Для связи с IP-сервером мы использовали протокол SAML для отправки и получения запросов и ответов.
  4. IP уже предоставил нам информацию о конечных точках и сертификат, необходимый для отправки и получения пакета SAML.
  5. Мы также отправили наши правила конечных точек, сертификатов и требований, чтобы они могли настроить наш тестовый сайт на своем сервере ADFS в качестве полагающейся стороны.
  6. В результате всего этого мы можем перенаправить анонимный доступ на нашем сайте на их сервер ADFS в виде запроса SAML.
  7. Они также могут обрабатывать и отправлять нам ответ со всеми подробностями пользователя, такими как имя, имя пользователя, адрес электронной почты и т. Д.
  8. Мы использовали стороннюю .dll для создания и обработки запроса SAML, имя: ComponentSpace (http://www.componentspace.com/).

источник

2016-06-15 09:45:56

Смежные вопросы

 Смежные вопросы