PIngFederate SSO多個IdPs

Question

我目前正在使用PingFederate軟件的評估版並且一直在閱讀文檔，但仍然在努力瞭解如何爲我的SP創建多個IdP。

我正在託管服務，並將PingFederate設置爲SP。目前在我的測試中，我有一個單一的IdP和一切工作正常......我已經設置IIS代理攔截流量，它重定向到我的SP啓動SP發起的SSO，並且一切正常（進入默認startSSO URL）。

但是，即時通訊努力瞭解我可以如何配置多個IdP的系統，並想知道如果有人可以給一個高層次的概述或指向我的一些文件？

據我所知，我必須配置第二個IdP連接，我需要使用PartnerIdpId URL參數來區分哪個IdP用戶發送....但我不知道我在哪裏做控制/配置路由到不同的Idps？我是否需要在IIS框上使用多個代理來偵聽不同的URL，然後可以將請求本身轉發到代理配置文件中的正確SP URL（/ startSSO？partnerIdpId = XYZ）？

感謝您的幫助， 克雷格

Answer 1

我認爲你的問題更是圍繞你如何使用IIS集成套件時觸發SP-初始化SSO多個境內流離失所者。

正如您已經發現的那樣，作爲服務提供者，您可以創建多個IDP連接（每個都有其自己的唯一EntityID）。您通過調用/sp/startSSO.ping應用程序端點來觸發SP-Init SSO，並傳入適當的PartnerIdpId值，該值與您希望發出AuthnRequest的IDP的EntityID相匹配。您可以通過以下兩種方法之一完成此操作 - 將URL硬編碼到IIS Kit pfisapi.conf文件中，以便每次都調用一個實體（而不是最佳解決方案），或者您可以手動將URL不受IIS工具包保護。不幸的是，這個設計決定很多都取決於你的IIS應用程序的設計和集成套件的選擇。

我建議您通過RSA與您交談，因爲它們可以幫助您向每個集成套件展示優點/缺點，以便匹配最適合您的應用程序&客戶的產品。

HTH， Ian PS 我爲Ping工作。