我如何使用另一個ACS名稱空間從一個ACS名稱空間訪問服務標識

Question

我有一個信賴ACS名稱空間A的依賴方應用程序，並且ACS名稱空間B中有服務標識，並且我希望服務標識能夠調用這些依賴方應用程序，以便名稱空間A與名稱空間B進行通信以獲得身份驗證。

有沒有什麼辦法來實現這一點，我無法找到任何相關的文件，如果任何人可以指導我一些文件，我們如何實現這將是偉大的。

謝謝

Answer 1

我真的不明白你在問什麼！

ACS是passive服務！沒有像Service Identities to be able to call those Relying Party applications這樣的過程！ 服務標識是一種驗證方式活動客戶端 - 這些服務器端進程不會調用用戶交互。

如果你想能夠在認證 [通過ACS命名空間中的IdP]由服務標識在ACS命名空間乙確定和服務器端代碼依賴方X都與，那麼你只需要建立* 信賴方X和兩個ACS命名空間之間的信任關係。

對於另一個ACS名稱空間，不能將ACS名稱空間用作標識提供程序。這是我所瞭解的你想達到的目標。

Answer 2

這是可行的，但有點複雜。您需要將名稱空間A作爲RP添加到名稱空間B，並將名稱空間B作爲IDP添加到名稱空間A（都可以通過WS聯合身份驗證元數據添加）。你還需要一些特殊的規則。

在命名空間B中，您需要一個頒發者ACS（如果使用管理服務的是LOCAL AUTHORITY），NameID SIName的傳遞規則。在命名空間A中，您需要一個頒發者NamespaceB，NameID，SIName的規則（您也可以在這裏傳遞所有NameID）。

設置完成後，流程如圖所示。

1. 客戶端使用OAuth2協議從命名空間B請求令牌。這個請求的RP是NamespaceA。
2. 客戶端收到此令牌並將其呈現給名稱空間A.此請求的RP是您想要的實際RP。

假設一切配置正確，客戶端在（2）中接收到的令牌將授予它訪問您的RP。