我們正在嘗試聯合我們的應用程序,以便我們的客戶可以使用其各自的公司標識訪問我們的應用程序。使用ADFS 3.0和Ping Identity構建聯合環境
嗯,我瞭解聯邦過程的機制,我已經能夠設置ADFS,並且修改了我們的應用程序的代碼,以便接受我的實驗室環境中的聲明,並且一切正常。
在接下來的幾周裏,我將在ADFS和我們客戶的產品(Ping Identity)之間建立一個聯邦信任,我需要您的幫助來了解我需要與客戶的IT部門交換什麼樣的信息才能完成那一步。
我從來沒有使用Ping Identity產品的經驗。
感謝任何幫助。
非常感謝
我會做一些假設你的應用程序,主要是它是託管在IIS .NET應用程序。這種類型的應用程序使用web.config中的標籤集成了Windows Identity Foundation(WIF),然後通過傳遞給您的應用程序的Claim Identity對象讀取經過身份驗證的用戶身份信息。在這種情況下,您的應用程序被稱爲服務提供商(SP)。
如果您的客戶使用的是PingFederate,整合很簡單,因爲WS-Federation SP連接將在其服務器上配置,即身份提供商(IdP)。如果您的客戶使用PingOne,那麼集成將會非常棘手。
交換PingFederate的信息由web.config中的配置中的配置驅動。您需要配置基於包含SAMLv1.1令牌的WS聯合響應的數字簽名證書的指紋。您的客戶將能夠提供指紋值。您還需要配置聯合身份驗證URL,頒發者和領域,這是有關PingFederate IdP服務器的信息。頒發者是您的SP應用程序的URL,用於重定向到PingFederate IdP服務器以及等同於PingFederate SP Connection的領域。確保您將audienceUris配置爲與領域相同的價值。 PingFederate管理員需要知道您的服務URL端點,它是您的SP應用程序端點,以便使用SAMLv1.1令牌接收WS聯合響應。