AD FS 2.0与PingIdentity / AppFabric实验室ACS
本文关键字:AppFabric 实验室 ACS PingIdentity FS AD | 更新日期: 2023-09-27 17:49:27
可能是一个简单的问题,我只是在寻找真的有人已经实现了这一点。我有AppFabric实验室v2目前与AD FS 2.0服务器与活动目录工作,这一切都很好,然后这链接到AppFabric,并路由到我的。net应用程序(依赖方)。
我的问题很简单-我如何让PingIdentity与AppFabric一起工作并成为STS提供者?我试过从PingIdentity管理系统导入. xml元数据,但没有成功。
人们将他们的AD FS 2.0服务器附加到AppFabric,然后将PingIdentity附加到他们的AD FS 2.0服务器作为索赔提供者,这是常见的路线吗?
将元数据导入ACS时会发生什么情况?你能否提供更多细节,说明哪些方面出现了问题?
关于:是人们常用的路径附加他们的AD FS 2.0服务器AppFabric,然后附加PingIdentity到他们的AD FS 2.0服务器作为声明提供者?
两种方法都可以。ACS仍然是"实验室",所以没有多少生产系统已经上线,所以在实际案例中,您会发现更多的ADFS<->Ping。但是,同样,两种方法都可行,这是其中一种"视情况而定"。我假设您的PingIdentity STS是一个"身份提供者"(意味着它对用户进行身份验证),因此通常它将是链中的最后一个STS。
做决定时需要问自己的一些问题:
- Ping发出的索赔需要转换多少?您需要多么强大的索赔转换功能?(ADFS具有比ACS更强大的索赔转换能力)
- Ping STS启用哪些协议?(WS-Fed ?SAMLP吗?: ADFS支持SAMLP, ACS尚未支持)
- 谁拥有这个STS(你,一个合作伙伴?)你对每个人有多大的控制力?
- 哪个平台让你管理起来更舒服?哪一个是你想要尽可能"远离"的呢?
另外,你把这个问题标记为"已回答",但它似乎与这个问题有关。
PingFed支持被动请求者概要文件的WS-Federation(以及SAML 1.0/1.1和2.0)OOTB以及主动概要文件用例的SAML 1.1和2.0(作为主动和被动的IDP和SP)。我相信ACS不支持用于PRP的SAML 2.0,但它支持WS-Federation。我认为ACS只支持SAML 2.0 令牌用于活动请求者配置文件。
在ACS中替换IDP端点应该不难,但我从来没有看过这是如何完成的。
HTH—Ian