AD FS 2.0 с PingIdentity / AppFabric Labs ACS

Может быть простой вопрос, я просто действительно ищу кого-то, кто реализовал это. У меня есть AppFabric Labs v2, в настоящее время работающая с сервером AD FS 2.0 с Active Directory, все в порядке, а затем это связывается с AppFabric и маршрутизируется к моему приложению .NET (проверяющая сторона).

У меня простой вопрос — как мне заставить PingIdentity работать с AppFabric и выступать в качестве поставщика STS? Я безуспешно пытался импортировать метаданные .XML из административной системы PingIdentity.

Является ли обычным способом присоединение сервера AD FS 2.0 к AppFabric, а затем присоединение PingIdentity к серверу AD FS 2.0 в качестве поставщика утверждений?


.net c# asp.net pingfederate wif
person Chris Dixon    schedule 06.04.2011    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Что произошло, когда вы импортировали метаданные в ACS? Можете ли вы предоставить более подробную информацию о том, что не работает?

Касательно:

Является ли обычным способом присоединение сервера AD FS 2.0 к AppFabric, а затем присоединение PingIdentity к серверу AD FS 2.0 в качестве поставщика утверждений?

В любом случае может работать. ACS все еще является «лабораторией», поэтому не так много производственных систем запущено, поэтому с точки зрения реальных случаев вы найдете больше ADFS‹-> Ping. Но, опять же, любой из них будет работать, и это один из тех «это зависит». Я предполагаю, что ваша STS PingIdentity является «Поставщиком удостоверений» (что означает, что она аутентифицирует пользователей), поэтому, как правило, это будет последняя STS в цепочке.

Некоторые вопросы, которые необходимо задать себе для принятия решения:

  • Сколько вам потребуется, чтобы преобразовать требования, выданные Ping? Насколько мощная возможность преобразования претензий вам нужна? (ADFS имеет более мощные возможности преобразования утверждений, чем ACS)
  • Какие протоколы поддерживает Ping STS? (WS-Fed? SAMLP?: ADFS поддерживает SAMLP, ACS еще нет)
  • Кому принадлежит эта СТС (вы, партнер?) Насколько вы контролируете каждую из них?
  • Какой платформой вам удобнее управлять? какой из них вы хотели бы «оставить в покое» как можно больше?

Кроме того, вы отметили этот вопрос как «ответил», но похоже, что это связано с этим.

person Eugenio Pace    schedule 06.04.2011
comment
На самом деле это может быть проблемой, я могу получить XML-файл PingIdentity STS FederationMetaData, но при импорте он выдает ошибку «Информация не может быть загружена» или что-то подобное, о чем в Интернете не так много информации. Однако это экспорт SAML... если ACS не поддерживает его, то причина именно в этом. Вы ответили на мой вопрос в том смысле, что PingIdentity может соединяться с AD FS 2.0, а затем с моим ACS... Я думаю, это радость от использования будущего программного обеспечения, которое все еще находится в лабораториях. - person Chris Dixon; 06.04.2011
comment
Я думал, что Ping также поддерживает WS-Federation. ACS может это сделать (и это то, что он использует для интеграции с ADFS). Но... я могу ошибаться. - person Eugenio Pace; 06.04.2011

arrow_upward
1
arrow_downward

PingFed поддерживает WS-Federation для профиля пассивного запрашивающего (а также SAML 1.0/1.1 и 2.0) OOTB, а также SAML 1.1 и 2.0 для вариантов использования активного профиля (как IDP, так и SP для активного и пассивного). Я считаю, что ACS не поддерживает SAML 2.0 для PRP, но поддерживает WS-Federation. Я думаю, что ACS поддерживает токены SAML 2.0 только для профиля Active Requester.

Замена конечной точки IDP в ACS не должна вызывать затруднений, но я никогда не рассматривал, как это делается.

HTH -- Ян

person Ian    schedule 06.04.2011
comment
@thedixon - если вы используете WS-Federation для Ping, вы сможете успешно запустить это. ACS поддерживает токены SAML1.1 и 2.0 во всех профилях (вместе с простыми веб-токенами). - person Eugenio Pace; 07.04.2011