im 目前正在使用 PingFederate 软件的评估版本并一直在阅读文档,但仍然难以理解如何为我的 SP 创建多个 IdP。
我正在托管服务,并将 PingFederate 设置为 SP。 目前在我的测试中,我有一个 IdP,一切正常......我已经设置了IIS代理来拦截流量,它会重定向到我的SP以启动SP启动的SSO,并且一切正常(进入默认的startSSO网址(。
但是,我正在努力了解如何为多个 IdP 配置系统,并且想知道是否有人可以提供高级概述或指向我一些文档?
我知道我必须配置第二个 IdP 连接,并且我需要以某种方式使用 PartnerIdpId URL 参数来区分用户被发送到哪个 IdP。但我不确定我在哪里进行控制/配置以路由到不同的 Idps?我的 IIS 框上是否需要多个代理侦听不同的 URL,然后将请求本身转发到代理配置文件中的正确 SP URL(/startSSO?partnerIdpId=XYZ(?
感谢您的任何帮助,克雷格
我认为您的问题更多是关于在使用 IIS 集成工具包时如何为多个 IDP 触发 SP-Init SSO。
如您所了解的,作为服务提供商,您可以创建多个 IDP 连接(每个连接都有自己唯一的实体 ID(。您可以通过调用/sp/startSSO.ping 应用程序端点来触发 SP-Init SSO,并传入与要发出 AuthnRequest 的 IDP 的 EntityID 匹配的相应 PartnerIdpId 值。您可以通过以下两种方式之一执行此操作 - 将 URL 硬编码到 IIS 工具包 pfisapi.conf 文件中,以便每次调用单个实体(不是最佳解决方案(,或者可以在不受 IIS 工具包保护的页面上手动承载 URL。遗憾的是,很多这种设计决策都归结为如何设计 IIS 应用程序以及集成工具包的选择。
我建议您与您的 RSA 讨论这个问题,因为他们可以帮助您向您展示每个集成套件的优缺点,以匹配最适合您的应用程序和客户的方法。
呵呵,伊恩附言我为平工作。