我有一个信任 ACS 命名空间 A 的依赖方应用程序,并且我在 ACS 命名空间 B 中有服务标识,我希望服务标识能够调用这些依赖方应用程序,以便命名空间 A 与命名空间 B 对话以进行身份验证。
有什么方法可以实现这一点,我找不到与此相关的任何文件,如果有人可以指导我找到一些关于我们如何实现这一点的文档,那就太好了。
谢谢
问问题
121 次
2 回答
1
这是可行的,但有点令人费解。您需要将名称空间 A 作为 RP 添加到名称空间 B,并将名称空间 B 作为 IdP 添加到名称空间 A(两者都可以通过 WS-Federation 元数据添加)。你还需要一些特殊的规则。
在命名空间 B 中,您需要一个 Issuer ACS 规则(如果使用管理服务,则为 LOCAL AUTHORITY),NameID SIName,通过。在 Namespace A 中,您需要一个 Issuer NamespaceB 规则,NameID SIName,pass through(您也可以在这里通过所有 NameID)。
设置完成后,流程如下所示。
- 客户端使用 OAuth2 协议从命名空间 B 请求令牌。这个请求的 RP 是 NamespaceA。
- 客户端收到此令牌并将其呈现给命名空间 A。此请求的 RP 是您想要的实际 RP。
假设一切配置正确,客户端在 (2) 中收到的令牌将授予它访问您的 RP 的权限。
于 2013-06-27T19:07:10.563 回答
0
I can't really understand what are you asking!
ACS is a passive service! There is no such process like Service Identities to be able to call those Relying Party applications! Service Identity is a way to authenticate Active Clients - these server side processes that do not invoke user interaction.
If you want to be able to authenticate in Relying Party X both with [IdP via ACS Namespace A] and Server side code identified by Service Identity in ACS Namespace B, then you just need to establish trust relationship between *Relying Party X and both ACS Namespaces.
You cannot use ACS Namespace as an Identity Provider for another ACS Namespace. Which is what I understand you want to achieve.
于 2013-06-06T06:57:01.300 回答