我目前正在使用PingFederate軟件的評估版並且一直在閱讀文檔,但仍然在努力瞭解如何爲我的SP創建多個IdP。PIngFederate SSO多個IdPs
我正在託管服務,並將PingFederate設置爲SP。目前在我的測試中,我有一個單一的IdP和一切工作正常......我已經設置IIS代理攔截流量,它重定向到我的SP啓動SP發起的SSO,並且一切正常(進入默認startSSO URL)。
但是,即時通訊努力瞭解我可以如何配置多個IdP的系統,並想知道如果有人可以給一個高層次的概述或指向我的一些文件?
據我所知,我必須配置第二個IdP連接,我需要使用PartnerIdpId URL參數來區分哪個IdP用戶發送....但我不知道我在哪裏做控制/配置路由到不同的Idps?我是否需要在IIS框上使用多個代理來偵聽不同的URL,然後可以將請求本身轉發到代理配置文件中的正確SP URL(/ startSSO?partnerIdpId = XYZ)?
感謝您的幫助, 克雷格
謝謝伊恩!任何幫助下面將不勝感激...如果我有一個URL xyz.com/sso,這是我的sso入口點,並有人擊中該URL沒有OpenToken,我希望SP發起的SSO被觸發。當只有一個IdP時可以,但是當我有多個時,我是否需要單獨的代理來監聽稍有不同的路徑?例如,一個代理會偵聽xyz.com/sso/client1,然後讓/sp/startSSO.ping?PartnerIdpId=client1硬編碼?我需要爲所有Idps做同樣的事嗎?我不能想出另一種方式來區分來電的來源。 – Craig
Craig - 您只能擁有1個pfisapi.conf文件,因此每個資源的配置不同是不可能的。使用IDP持久參考Cookie可能是一種選擇,但它需要一個成功的SSO,然後才能按您的方式工作。您還可以查看另一個集成套件(無代理),這將允許您更好地控制使用體驗。再次,您最好的選擇是與您的Ping RSA交談,他們可以幫助概述每個套件的優缺點。 – Ian