问题标签 [pingfederate]

供应商使用 Ping Federate 进行基于 SAML 的单点登录。我有一些实现基本身份提供者的自定义 SAML 2.0 代码。我正在使用 URL 和 HTTP Post 执行 IDP 发起的 SSO。PF 服务提供商位于https://domain/sp/startSSO.ping。我应该在 PF 服务器上发布我的响应（断言）到哪个 URL？

我认为我需要的 URL 的正式名称是断言消费者服务 (ACS) 端点。

我正在使用 PingFederate 进行 SSO。我的应用程序充当 SP，我正在尝试由 SP 发起的 SSO。我将 SAMLRequest 发送到已签名的 PingFederate。但它不会向 SAMLRequest9authnRequest 中提到的 ACS URL 发送 SAML 响应）。

你能帮我设置一下，这样默认的断言消费者 URL 不会被拾取，而是使用 SAMLRequest 中发送的那个吗？

对于了解 PingIdentity 和 ACS 的人来说，这将是一个非常有限的问题。

我已经设置好我的 ACS，一切正常，我知道如何添加自定义 STS (PingIdentity)，但我找不到任何 PingIdentity 联合元数据 (FederationMetaData.xml) 来进行身份验证。

显然我们当前系统的工作流程是这样的：

我们 -> 我们的 PingIdentity 服务器 -> 供应商 -> 供应商的 PingIdentity 服务器 -> 将令牌路由回我们。

我是否必须使用我们本地的 PingIdentity Federation MetaData 作为 STS 才能实现我正在寻找的东西（相同的场景，但使用 ACS）？我在哪里可以找到这个？

提前致谢。

有没有人有将元数据文件从 Ping Identity 导入 ACS 提供商的经验？

我登录了我的 Ping Identity 管理系统，一切正常，没问题。然后，当我导出 idP 文件时...其中没有包含数字签名，因此我无法将此文件导入 ACS，因为它抱怨没有包含签名。

有没有其他人遇到过这个问题并对解决方法有任何想法？我知道这很复杂，所以手指交叉。

可能是一个简单的问题，我只是在寻找真正实现这一点的人。我有 AppFabric Labs v2 目前正在使用带有 Active Directory 的 AD FS 2.0 服务器，这一切都很好，然后链接到 AppFabric，并路由到我的 .NET 应用程序（依赖方）。

我的问题很简单——如何让 PingIdentity 与 AppFabric 一起工作并成为 STS 提供者？我尝试从 PingIdentity 管理系统导入 .XML 元数据，但没有任何乐趣。

人们将其 AD FS 2.0 服务器附加到 AppFabric，然后将 PingIdentity 作为声明提供程序附加到其 AD FS 2.0 服务器的常见途径是什么？

鉴于：

• PingFederate 是一种单点登录 (SSO) 解决方案，它允许 1-n 应用程序使用单个用户名和密码对用户进行身份验证。

高级问题：

• PingFederate 的单次注销 (SLO) 功能如何工作？
• SLO 一般是如何工作的？

鉴于：

• 要开始 SLO 流程，我们希望用户从浏览器（即https://[PingFederateInstance]/idp/startSLO.ping?PartnerSpId=[PartnerSpId]）请求 SLO 端点。
• 我们可以假设 PingFederate 实例将在成功调用 SLO 后发出重定向。

具体问题：

• 但是，如果您在多个浏览器窗口中有多个应用程序怎么办？
• 联合身份提供者如何告诉多个应用程序终止它们的用户会话？

以@Scott T. 的回答为基础：

...PingFederate（充当 IdP）知道您在给定会话中与哪些 SP 联合。当用户启动 SLO（从您给出的示例 - 在 IdP - 它也可以从 SP 启动）时，用户浏览器（假设重定向或 POST 绑定）通过 SAML LogoutRequest 发送到每个 SP。

当我请求https://[PingFederateInstance]/idp/startSLO.ping?PartnerSpId=[PartnerSpId]时，根据 server.log，PingFederate 只发出一个LogoutRequest。

我的问题：

• 如果我与多个 SP 联合，我应该如何配置 PingFederate 以便每个联合 SP 发出一个请求？

我倾向于相信：

1. 我需要在这个屏幕上配置一些东西。
2. 与多个 SP 注销请求“链接在一起”的想法一致，最后一个端点 URL 应该是 /idp/SLO.saml2。

我正在尝试使用 PingFederate 进行 SLO。其中一个 SP 应用程序配置为使用无 cookie 会话。PingFederate 中的这个 SP 应用程序的注销 URL 设置为例如“http://site/logout.aspx”，但是当 SLO 进程被触发时，PingFederate 成功地将浏览器重定向到这个 URL，但是到一个完全不同的会话比第一次创建 SSO 时产生的那个。如何配置 PingFederate 以重新使用在 SSO 过程中创建的会话重定向到 SP 的注销页面？

编辑：对不起，我忘了提一些事情。实际上 IdP 和 SP 应用程序都是在 ASP.NET 中开发的，我所说的 cookieless 是指 SP 应用程序在其 web.config 文件中具有以下会话状态配置

此 sessionState 配置使 url 看起来像“http://site(S(pvvofbemnrmaixo2emaaeo0t))/Home.aspx”，这对于 SSO 来说是可以的，因为当调用“http://site/Home.aspx”时，a新会话被创建，因此将 url 替换为包含“(S(blahblah))”，但是，当 SLO 进程调用 SP 的注销 url (http://site/logout.aspx) 时，为生成 SP 站点（不同于最初由 SSO 创建的站点）。因此，原始 SP 站点会话并未结束。

在我调用单次注销 (SLO) 后，通过调用 'GET' on https://[PingFederate Server Instance]:[Port]/idp/startSLO.ping，我的 PingFederate 服务器开始向我的 SP 注销服务发出请求。[我知道这一点是因为我可以看到它在 Fiddler 中发生。]

但在此过程中，它注意到我显然忘记为我的一个 SP 定义注销服务。

我的问题：

• 它指的是哪个SP？
• 如何解决此错误？

2011-11-25 21:40:16,923 WARN [org.sourceid.servlet.ErrorServlet] 顶级错误（ref#wprmxs）：org.sourceid.saml20.adapter.AuthnAdapterException：已调用注销功能，但未配置注销服务这个适配器。 org.sourceid.websso.profiles.ProcessRuntimeException：org.sourceid.saml20.adapter.AuthnAdapterException：已调用注销功能，但未为此适配器配置注销服务。在 org.sourceid.websso.profiles.ResumableResponseHandlerBase.resume(ResumableResponseHandlerBase.java:50) 在 org.sourceid.saml20.profiles.idp.HandleLogoutResponse.doIt(HandleLogoutResponse.java:154) 在 org.sourceid.saml20.profiles.idp .HandleLogoutResponse.handleException(HandleLogoutResponse.java:80) 在 org.sourceid.websso.profiles.ResponseHandlerBase.process(ResponseHandlerBase.java:86) 在 org.sourceid.saml20.profiles.ProfileProcessManager.doHandleResponse(ProfileProcessManager.java:92) 在$ProfileProcessMgmtService_132f8e9ec21.doHandleResponse($ProfileProcessMgmtService_132f8e9ec21.java) 在 org.sourceid.websso。org.mortbay.jetty.HttpParser.parseAvailable(HttpParser.java:211) 的 parseNext(HttpParser.java:514) org.mortbay.jetty.bio 的 org.mortbay.jetty.HttpConnection.handle(HttpConnection.java:380) .SocketConnector$Connection.run(SocketConnector.java:228) at com.pingidentity.appserver.jetty.DynamicSslSocketConnector$SslConnection.run(DynamicSslSocketConnector.java:637) at org.mortbay.thread.BoundedThreadPool$PoolThread.run(BoundedThreadPool.java :450) 原因：org.sourceid.saml20.adapter.AuthnAdapterException：已调用注销功能，但未为此适配器配置注销服务。在 org.sourceid.saml20.profiles.idp.AdapterSupport.logoutAuthN(AdapterSupport.java:306) 在 org.sourceid.saml20.profiles 的 com.pingidentity.adapters.opentoken.IdpAuthnAdapter.logoutAuthN(IdpAuthnAdapter.java:270)。

在我调用单点注销 (SLO) 后，通过在https://[PingFederate服务器实例]:[端口]/sp/startSLO.ping 上调用“GET”，我的 PingFederate 服务器开始向我的 SP 注销服务发出请求。[我知道这一点是因为我可以看到它在 Fiddler 中发生。]

但是，当我的一个 SP 调用“https://<PingFederate DNS>:XXXX” + request.getParameter(“resume”);（根据@Scott T.'s answer here）时，我收到一条错误消息：

错误 - 单次注销不成功 响应状态：urn:oasis:names:tc:SAML:2.0:status:Requester 状态消息：无效签名 您的单次注销请求未成功完成。要退出您的身份提供者和每个服务提供者，请关闭所有浏览器窗口。合作伙伴：XXXX：IDP 目标资源： http://<domain>/<default SLO endpoint>

我的问题：

• 此错误消息指的是什么？
• 如何解决此错误情况？