>我正在尝试将SAML SSO配置为OpenAM作为SP,将PingFederate配置为IDP,并使用SP发起的SSO并使用重定向发布绑定。我正在使用 kerberos 适配器来实现 SSO。
我已将 Kerberos 适配器配置为使用"e-glue.com"域,并在配置中提供了 KDC 详细信息。我还在域控制器中正确添加了Pingfederate服务器的"setspn"。 但是,当我登录到具有有效"e-glue.com"用户的计算机并使用"https://hostname.e-glue.com:1912/openam/saml2/jsp/spSSOInit.jsp?idpEntityID=ent-026330&metaAlias=/sp"点击 SSO 网址时,它会将我重定向到 IDP,并且 SSO 成功并在 openam 中创建用户。 但是如果我对其他域做同样的事情..这不是"e-glue.com",它仍然对用户进行身份验证,并在 Openam 中创建用户。
这太奇怪了,缺少一些东西,因为尽管我们将 kerberos 适配器配置为使用 KDC e-glue.com 不属于 e-glue 域的用户正在进行身份验证。我错过了一些东西,不确定是什么。 如果您有任何关于问题的信息,请分享。
这是因为域间信任关系而发生的。
PingFederate(IDP(配置为通过"e-glue.com"域对用户进行身份验证。
所以我登录到我的计算机,该计算机位于域"someother.domain"中。 但是这个"someother.domain"实现了Active Directory目录服务林,并且在"e-glue.com"和它之间具有信任关系。因此,由于信任关系,所有登录到IDP的用户也是有效用户。 我花了一些时间才明白这一点。