我们正在尝试联合我们的应用程序,以便我们的客户可以使用他们各自的公司身份访问我们的应用程序。
好吧,我了解联合过程的机制,我已经能够设置 ADFS,并且我已经修改了我们的应用程序的代码,以便在我的实验室环境中接受声明,并且一切正常。
在接下来的几周内,我将在 ADFS 和我们客户的产品(Ping Identity)之间建立联合信任,我需要您的帮助来了解我必须与客户的 IT 部门交换什么样的信息才能完成该步骤。
我从未使用过 Ping Identity 产品。
感谢任何帮助。
非常感谢
问问题
1344 次
1 回答
1
我将对您的应用程序做一些假设,主要是它是托管在 IIS 上的 .NET 应用程序。这种类型的应用程序使用 web.config 中的标签集成 Windows Identity Foundation (WIF),然后通过传递给应用程序的 Claims Identity 对象读取经过身份验证的用户身份信息。在这种情况下,您的应用程序被称为服务提供者 (SP)。
如果您的客户使用 PingFederate,则集成很简单,因为将在他们的服务器上配置 WS-Federation SP 连接,称为身份提供者 (IdP)。如果您的客户使用的是 PingOne,那么集成将很棘手。
与 PingFederate 交换的信息由 web.config 中的配置中的配置驱动。您需要配置基于包含 SAMLv1.1 令牌的 WS-Federation 响应的数字签名证书的指纹。您的客户将能够提供指纹值。您还需要配置联合身份验证 URL、颁发者和领域,这是有关 PingFederate IdP 服务器的信息。颁发者是您的 SP 应用程序重定向到 PingFederate IdP 服务器的 URL,以及等同于 PingFederate SP 连接的领域。确保将 AudienceUris 配置为与领域相同的值。
于 2015-05-04T00:24:04.137 回答