问题标签 [pingfederate]

PingFederate 文档指出，您可以配置SP或IDP 单点注销（又名 SLO）。

当用户从他们的浏览器请求“Start-SLO”端点时，用户启动 SLO（即，要么 要么http://<PingFederate Base URL>/sp/startSSO.ping）http://<PingFederate Base URL>/idp/startSSO.ping。

我的问题：

• 这不只是名义上的区别吗？
• 归根结底，我们不只是针对端点吗？
• 这个选择对 SLO 流程有任何实质性影响吗？

@Scott T.这里有以下要说的：

如果用户在 IdP 启动 SLO 流程，则可以 - 作为最后一步，用户将被重定向回 /idp/SLO.saml2。事实上，您为注销而重定向到的每个 SP，都将重定向回 IdP 以注销下一个 SP。如果您从 SP 启动 SLO 流程，那么用户最终到达的最后一个位置是该 SP 的 SLO 端点。

事实上，如果 PingFederate 重定向到作为最后一步启动 SLO 的 SP 会很好，但这不是我的经验。

也许我还应该问：

• 您如何指定启动 SLO 的 SP？

编辑：根据@Scott T.'s answer here：

我在这里假设您将 PingFederate 作为 IdP 和 SP（可能有 2 个单独的安装）。

据我了解 IdP 和 SP 的定义：

• PingFederate既不是我的 IdP也不是我的 SP 之一。**
• 对于我的配置，PingFederate 只是促进了我的 IdP 和我的 SP之间的开放令牌传输。
• 直到最近，我还相信这是一个完全有效的配置。
• 但现在看来，这种配置不利于 SLO；或者至少与 PingFederate 充当我的 IdP 一样好。
  • 它是否正确？

**当我这样说时，我的意思是说我有：

• 一个独立的 Web 应用程序，它对用户进行身份验证，并有一个包含用户名和密码的后备存储（即数据库）——这充当我的 IdP。
• 链接到我的 IdP 的多个独立 Web 应用程序显示数据并向我的用户提供功能 -这些充当我的 SP。

正如预期的那样，当我启动单点注销 (SLO) 时，我会到达各种 SP 注销服务端点。

但是，我想从 opentoken 收到更多信息。

目前，我的 SP 在令牌中收到以下属性：

not-before
subject
not-on-or-after
renew-until

我的问题：

• 当我到达 SP 注销服务时，如何在令牌中接收更多属性？

编辑：根据@Scott T.的回答：

在 SLO 时访问这些属性意味着您的 opentoken 是在 cookie 中发送的，或者您在 SP 的应用程序会话中本地维护这些属性。

• 在我的配置中，我有 IdP 和 SP 适配器。
• 我已经在每个适配器的扩展契约中添加了属性。
• 那么为什么当我到达 IdP 适配器的注销服务并解析开放令牌时，我看到所有属性，包括扩展合同中的属性？
  • 然而，当我到达任何SP 适配器注销服务时，我在解析的开放令牌中看不到任何扩展合同属性？
• IdP 适配器注销服务在这种方式中是否特别？

我正在使用 PF 5.2.0 来设置 IdP 以及多个 SP。我的问题是关于单个注销 senario。

如果 SP1 和 SP2 与我的 IdP 建立了会话，则在 IdP 启动注销时，通过向两个 SP 发出 samlp:LogoutRequest 可以正常工作。如果在与 IdP 建立会话后其中一个 SP 关闭，那么 SL​​O 未完成，则将面临一个问题，这意味着如果 SP1 关闭，则假设第一个注销请求发送到已关闭的 SP1，则 samlp:LogoutRequest 不会发送到 SP2。

我正在使用 POST 绑定，但我相信这与重定向的结果相同

期待你的评论。。

-Vj

谁能指出 PingFederate 如何使用加盐的 MD5 哈希密码对帐户进行身份验证？

谢谢。

我们正在考虑将 PingFederate 作为 IdP 实施。

PingFederate 也可以充当 SP - 是否建议 PingFederate 在充当 SP 时托管在与充当 IdP 的 PingFederate 实例不同的服务器上。

我们是一家教育机构，我们的一些集成应用程序，对于 PingFederate IdP，可能没有预算为 SP 购买 PingFederate 许可证。你使用 Internet2 的开源 SP 吗？

我们需要支持以下身份验证流程

• 用户 1 使用 Salesforce 凭据登录 Salesforce

• 用户 2 使用 Arcot +Ping + Siteminder 凭据登录 Salesforce

• 用户 2 使用 Arcot + Ping + Siteminder 凭据登录自定义应用程序

由于上述所有身份验证方法都是 SAML，因此我需要找到一种方法来解决家庭领域发现问题，这是身份验证流程的一个不寻常的“网格”。

问题

我应该如何设置 IDP 和 RP 来处理这种情况？

家庭领域发现如何运作？

我的客户有一个 ping federate 安装，它似乎正在生成不兼容的身份验证响应文档。文档格式正确，不包含非法字符。

最大的问题是文档的节点在节点名称中不包含“ds:”。这是不幸的，因为我的身份验证库（omniauth-saml ）在验证时专门寻找 ds 名称。

图书馆有错吗？Ping Federate SAML 文档有问题吗？我已经开始修补匹配器以使用 XPath 的“包含”帮助程序，但即便如此，文档的摘要和证书也不会计算到正确的值。

1. 图书馆有错吗？
2. Ping Federate SAML 文档有问题吗？
3. Ping Federate 文档在规范化后是否仍应进行验证？

这是他们的 SAML 响应示例

我需要使用 SP 发起的 SSO 将 PingFederate 与 Salesforce 集成。

我的目标是让 Active Directory 中的用户在访问 Salesforce 应用程序 URL 时自动登录。我已经在 PingFederate 中创建了与 Salesforce 的 SP 连接，并在 Salesforce 中上传了 PingFederate 证书。在 Salesforce 中，我已将 IdP 颁发者实体 ID 设置为与 PingFederate 中的匹配。

对于 SP 发起的 SSO，我需要为浏览器提供哪个 URL 以测试此设置是否正常工作？

我只想知道证书吊销在 PingFederate 中是如何工作的。

从哪里读取任何连接使用的任何证书的到期时间？是否有包含有关连接和相应证书的所有信息的文件？

我们正在使用 PingFederate 来启用 SSO。它正在与 LDAP 目录服务器进行映射，并且我们的站点能够使用 SSO。现在，我们正在集成一个帮助台软件应用程序，该应用程序托管在我们自己站点的某个位置。我们希望帮助台用户能够使用我们的站点凭据登录。为此，我需要将帮助台添加为 PingFederate 中的合作伙伴 (SP)，充当 IdP。

我怎样才能做到这一点？一个简短的解释会很有帮助。提前致谢。