我已经在我的桌面上配置了 IdP 和 SP。为了测试 SSO,我在 tomcat 中部署了一个 html 页面。我给出了 url:http://machinename:portno(这里是 tomcat 的端口)/webApp/index.html 默认SP配置的url。当我尝试点击 SP SSO url ( http://machine_name:portno/sp/startSSO/ping ) 时,它会重定向到 IDP 并提示进行身份验证。一旦用户通过身份验证,用户将被重定向到 tomcat 网页。
但是,当我尝试访问 tomcat 页面时,无需任何身份验证即可访问它。SP端有配置吗?如果是这样,该怎么做?当我访问网页时,应该会提示我进行身份验证。
这个配置问题真的和 PingFederate 无关。这更多地是关于您如何选择将您的 Tomcat 应用程序与 PingFederate SP 适配器集成。您有可能在 Tomcat 中为 Java 应用程序使用 SP OpenToken 或 SP ReferenceID 适配器 - 这些适配器仅在 PingFederate SP 验证 SAML 响应后向您的应用程序提供用户的身份属性。由您的应用程序验证特定的令牌类型(使用您选择的 SP 适配器所需的正确步骤),然后您的应用程序还负责根据传入的用户身份强制访问/维护会话令牌。
如果您期待访问控制/会话管理,我建议您考虑将 PingFederate 与 PingAccess 集成。
底线:Ping 的解决方案非常灵活,因此有多种方法可以根据您的应用程序基础架构和用例要求来完成此任务。我建议您使用 Ping Identity RSA 来帮助您解决这些问题,以获得最佳结果。