2014-04-09 83 views
0

我們在SAP Netweaver和ADFS(充當STS)之間建立了SSO設置。 因此,某些用戶將在自定義應用程序(ASP.Net)上登錄,並且此應用程序將向ADFS請求SAML聲明以訪問SAP系統。SAP SAML SSO和WS-Trust

問題是,根據SAP文檔,SAP系統的依賴方標識符不是URL(它只是一個名稱),並且在ADFS中指定了這種方式(例如:SAPSYSTEMRPID)。

現在,如何在地球上我可以得到一個使用WS-TRUST發佈的令牌(這是ADFS提供的),當AppliesTo字段需要一個Uri時?有一個默認的方案,一些約定?

我一直在我的頭撞着桌子好幾天了。我很明顯缺少一些東西

回答

0

那麼,在這麼多之後關閉我自己的問題。

最後問題是ADFS命名的依賴方,一旦我們將名稱轉換爲URL(這有些令人信服),它開始工作。

ADFS應該是RP標識符名稱格式的字符串。

+0

您好卡洛斯,我跟着聽起來像一個非常類似的過程,但不同的是,我們已成功地訪問令牌ADFS,但有問題傳遞它在請求中的方式,網關將採取它。 ..您是否有一些示例代碼可以發佈,說明您將SAML斷言添加到發往Gateway的請求的方式?將非常感謝!謝謝。 – Hidan

+0

我目前沒有訪問代碼,現在我可以告訴你的是,你需要在標題中發送令牌。但是,如果SAP文檔儘可能簡短,我建議您在後端代碼中實現瀏覽器啓動的SSO(處理重定向和內容) –

+0

謝謝您回覆我!當你說在標題中傳遞令牌時,你的意思是來自ADFS的令牌嗎?你還記得你給頭的名字嗎?我們正在跟蹤fiddler中的流量,並且我們看到SAML斷言正在被傳遞......看起來最終會傳遞一個SAP SessionId cookie來授予訪問權限,但猜測Gateway正在使用它來代替FedAuth cookie。當我們傳遞cookie時,我們可以通過硬編碼獲得流量,但我們可以通過手動處理重定向來獲取訪問Cookie,但不確定如何獲取我們需要的cookie。 – Hidan