我正在做 adfs+openam 联合,其中 openam 服务器是我的服务提供者,而 adfs 服务器是身份提供者。我在 openam 服务器上创建了 sp.xml 和 sp-extend.xml 文件。以及 adfs 服务器上的 idp.xml 和 idp-extend.xml。
但是无论是在 Openam 还是 adfs 服务器上,该 sp.xml 应该在哪里导入。idp.xml 也一样。我对此感到困惑。我正在参考以下站点进行配置:
https://wikis.forgerock.org/confluence/display/openam/OpenAM+and+ADFS2+configuration
通常,idp.xml(ADFS 元数据)将被导入 OpenAM,而 sp.xml(OpenAM 元数据)将被导入 ADFS。
在 ADFS 方面,这将通过单击“添加信赖方信任”然后选择第二个选项“从文件中导入有关信赖方的数据”来完成。
文档不清楚。对于 OpenAM 来说很简单:
“第二次导入身份提供者。这可以通过上传元数据 XML 文件来完成。您需要同时上传每个提供者的元数据和扩展元数据文件。”
这意味着两个文件(idp 和 sp)。
对于 ADFS,它建议使用第一个“添加依赖方信任”选项,即“导入有关在线发布的依赖方的数据”。
“但是 ADFS 允许我们使用 OpenAM 联合 URL 来动态获取元数据。因此选择第一个选项并使用以下 URL
https://sso01.aaa.local:8443/opensso/saml2/jsp/exportmetadata.jsp
这将导入依赖方信任。”
我会尝试只将 idp.xml 导入 OpenAM,然后使用这两个选项中的任何一个将 sp.xml 导入 ADFS。