5

我有一个支持使用 SAML 1.1 的 Web SSO 的第 3 方程序(换句话说,它已准备好充当服务提供者)。

我们希望根据他们的 Active Directory 凭据为我们的 Intranet 用户实施此 SSO。换句话说,他们已经登录到他们的系统,所以让我们简单地使用这些凭据来促进 SSO。不过,我有点不知所措。

我最初的想法是 IIS / Active Directory 可以很容易地充当身份提供者,因为 IIS 为我们提供了“集成 Windows 身份验证”功能。我认为我们可以创建一个需要集成身份验证的 .NET Web 应用程序,该应用程序只需提取当前用户 ID,构建 SAML 响应,并使用此 SAML 响应将用户重定向回服务提供商以完成 SSO。

但是,我的问题是我根本不知道如何创建此 SAML 响应、所涉及的 X.509 证书等……我想知道我是否对此感到头疼,或者是否创建这个 SAML 响应应该相对容易。

请注意,此 SSO 仅供 Intranet 用户使用,因此无需担心与其他公司/域的联合。

4

2 回答 2

4

您可能想要研究的另一个选项是 Microsoft 的 Active Directory Federation Server (ADFS) 2.0。

于 2010-06-16T19:04:01.967 回答
1

我不会费心尝试构建符合 SAML 的东西。使用工具包将花费您数周的时间,而您的努力可能只会处理一个用例。一旦您将某些自定义设置到位,您很快就会意识到您组织的其他部分也需要某种类型的 SAML 集成(内部或外部)。

最快(和恕我直言)最简单的方法(你会看起来像个英雄)是使用来自 www.pingidentity.com 的 PingFederate 之类的东西。如果您知道自己在做什么,则可以在不到一天的时间内启动并运行它。

只是我的 0.02 美元

HTH-伊恩

于 2010-06-16T14:59:07.610 回答