有没有人使用 Fedlet 作为他们的服务提供者和 CA Siteminder 作为他们的身份提供者?我们的客户正在使用 CA Siteminder 联合安全服务,我们需要将我们的终端配置为可以接受具有属性映射的 SAMLv2 断言的服务提供商。IDP 启动的 SSO 是否可以使用此设置?
我只能让 Fedlet 与 OpenSSO 身份提供者一起工作,但不能与 CA Siteminder 一起工作。客户端只提供了要使用的 idp 和 sp ID、它们的元数据、协议和绑定标准,没有其他任何东西。我给了他们我们的 Assertion 消费者服务 URL(我从 Fedlet conf 上的 sp.xml 获得)和中继状态 url,我们将在用户成功登录后重定向用户。
或者您是否推荐使用不同的技术作为 CA 站点管理员 IDP 的服务提供商?
请指教。
如果您已经有 SiteMinder 安装设置,那么 SMFSS 是最快、最简单和最强大的解决方案,恕我直言,但我支持它。当新客户已经有一个可用的 SiteMinder 架构并且 OpenSSO 没有已知问题时,我可以在不到一天的时间内让新客户启动并运行 SAML 2.0 POC。如果您有特定问题,您应该在启用 HTTPS 解密和日志的情况下提供提琴手跟踪,以便我们提供帮助。此外,R12 SP3 或 SM6 SMFSS 文档有关于需要匹配哪些设置的章节,为 SAML 2.0 设置 IDP 和 SP 章节,只要您有匹配值章节的设置,这些章节就是倒数第二章和章号会根据文档的版本而变化。
如果您的 SP 实施属性查询 SAML 规范,您还可以使用我们提供的属性授权在 SP 端进行授权。换句话说,如果没有属性权限,那么您需要将属性存储在 SP 端以供以后使用。话虽如此,如果您使用 SMFSS(SiteMinder 联合安全服务)SP,您可以在 SP 端使用会话存储并在身份验证时将断言属性存储在那里。如果您对此还有任何疑问,请告诉我。我喜欢 SMFSS 的一点是你真的很清楚你在做什么,并且可以变得非常精通,因为许多其他产品似乎使用大量元数据将东西添加到他们的 UI 中,恕我直言,这导致人们并不真正理解他们正在建立和管理的联盟。
我想知道 IanB 是不是我的老同事 Ping 的 Ian Barnett?如果是你好!!!
Crissy Krueger Stone
SiteMinder 支持预计 2000 年 5 月 1 日
Fedlet 非常简单,由 Sun(现为 Oracle)设计,可与 OpenSSO 作为 IDP 一起使用。虽然它可能在某种程度上符合要求,但我想它可能不是 SAML 2.0 SP-Lite 的完整实现,而是它的一个子集。
如果您正在寻找更强大的选项,我会从PingIdentity查看 PingFederate 。我们有数十个 SP 使用 SAML 1.x 和 2.0 与 CA SM FSS 作为 IDP(反之亦然)集成。它占用空间非常小,可以支持多种开发语言/平台,并且可以非常快速地设置和投入生产。
HTH-IanB