我目前正在使用 PingFederate 软件的评估版并一直在阅读文档,但仍在努力了解如何为我的 SP 创建多个 IdP。
我正在托管服务,并将 PingFederate 设置为 SP。目前在我的测试中,我有一个 IdP,一切正常......我已经设置了 IIS 代理来拦截流量,它重定向到我的 SP 以启动 SP 发起的 SSO,并且一切正常(进入默认 startSSO网址)。
但是,我很难了解如何为多个 IdP 配置系统,并且想知道是否有人可以提供高级概述或指向我一些文档?
我知道我必须配置第二个 IdP 连接,并且我需要以某种方式使用 PartnerIdpId URL 参数来区分用户被发送到哪个 IdP....但我不确定我在哪里进行控制/配置以路由到不同的 Idp ? 我的 IIS 机器上是否需要多个代理来侦听不同的 url,然后可以将请求本身转发到代理配置文件中的正确 SP url (/startSSO?partnerIdpId=XYZ)?
感谢您的帮助,克雷格
我认为您的问题更多是关于在使用 IIS 集成工具包时如何为多个 IDP 触发 SP-Init SSO。
正如您所了解的,作为服务提供者,您可以创建多个 IDP 连接(每个都有自己唯一的 EntityID)。您可以通过调用 /sp/startSSO.ping 应用程序端点来触发 SP-Init SSO,并传入与您希望发出 AuthnRequest 的 IDP 的 EntityID 匹配的适当 PartnerIdpId 值。您可以通过以下两种方式之一执行此操作 - 将 URL 硬编码到 IIS Kit pfisapi.conf 文件中,以便每次调用单个实体(不是最佳解决方案),或者您可以手动将 URL 托管在页面上不受 IIS 工具包的保护。不幸的是,这种设计决策很大程度上取决于 IIS 应用程序的设计方式和集成工具包的选择。
我建议与您的 RSA 进行讨论,因为他们可以帮助您向您展示每个集成套件的优缺点,以匹配最适合您的应用程序和客户的方案。
HTH,Ian PS 我为 Ping 工作。