在我的項目中,我使用PingFederate並希望集成兩個獨立域的AD。集成一個非常簡單,但無法找到任何關於如何集成不同域的2個獨立AD的文檔。此外,我還希望具有IP限制(例如來自IP1的用戶將針對AD1進行身份驗證,而來自IP2的用戶將針對AD2進行身份驗證)。PingFederate多個身份提供商
我正在使用無代理集成。
在我的項目中,我使用PingFederate並希望集成兩個獨立域的AD。集成一個非常簡單,但無法找到任何關於如何集成不同域的2個獨立AD的文檔。此外,我還希望具有IP限制(例如來自IP1的用戶將針對AD1進行身份驗證,而來自IP2的用戶將針對AD2進行身份驗證)。PingFederate多個身份提供商
我正在使用無代理集成。
使用PingFederate作爲Identity PRovider(IdP),您可以使用身份驗證選擇器,特別是IP限制的CIDR選擇器。這將使用CIDR表示法檢查IP範圍的HTTP請求。然後,身份驗證選擇器的配置將使用特定的密碼身份驗證器(PCV)定義特定的HTML表單適配器。例如,IP1的CIDR選擇器將調用使用PCV到AD1的HTML1表單適配器,然後IP2的CIDR選擇器將調用使用PCV到AD2的HTML2表單適配器,等等。如果沒有任何IP範圍匹配,身份驗證選擇器將具有默認值,這可能會重定向到錯誤頁面或轉到某個默認身份驗證HTML適配器表單。
只要記得通過X-Forwarded-For獲取源IP,如果你有一個代理服務器或類似的前面。 –
「整合」是什麼意思?您可以查詢連接中的多個數據存儲區,可以針對多個PCV進行身份驗證等。如果我們僅談論身份驗證,並且您正在使用無代理程序套件作爲IdP適配器,則可以針對這兩個AD進行集成直接在您的代碼中處理。 –
嗨安德魯,這正是我的問題,它將如何處理我的代碼。我應該創建單獨的IdP並且在我的應用程序中有邏輯來調用相應的IdP? – Ankit
如果您使用HTML表單適配器,您可以在下面使用Eric U的答案。它當然有效!但是,如果您想要更多一些「您的」,您可以使用無代理套件構建您自己的IdP適配器,並決定如何爲您的環境構建它。靈活性在那裏。您應該與貴公司來自Ping的區域解決方案架構師討論架構思想。 –