Система единого входа, инициированная IDP ADFS 2.0

Я пытаюсь настроить тестовую конфигурацию для SSO, инициированного IdentityProvider, с использованием ADFS 2.0 в качестве моей службы STS RP и поставщика удостоверений SAML 2.0. Вот моя установка:

Поставщик удостоверений - веб-сайт, выпускающий токены SAML 2.0 с использованием подключаемого модуля ComponentSpace SAML v2.0 .NET.

RP STS - экземпляр ADFS 2.0 с доверительными отношениями RP с моим приложением asp.net.

Приложение RP - веб-приложение ASP.NET (WIF) со ссылкой STS на мою службу STS ADFS 2.0.

Итак, что происходит, так это то, что пользователь входит на веб-сайт поставщика удостоверений и проходит проверку подлинности. Затем им дается ссылка на RP STS. Эта ссылка (насколько я понимаю) должна использовать RelayState, чтобы сообщить RP STS, в какое приложение нужно перенаправить пользователя. Я знаю, что мне нужно создать какое-то доверие между ADFS и моим IP-порталом, но я не знаю, что это может быть. Моя проблема в том, что я не могу найти никаких хороших ресурсов с инструкциями о том, как это сделать. Большая часть того, что я обнаружил, предполагает, что ADFS также является поставщиком удостоверений и настроен как конечная точка SAML 2.0. То, что я пытаюсь сделать, невозможно, или я просто не нахожу нужные ресурсы?

Спасибо!


asp.net single-sign-on saml-2.0 ws-federation adfs2.0
person JGC    schedule 26.04.2013    source источник
comment
Вы найдете на этой странице онлайн-справки по SAML некоторые информация о Idp-intiated. В ultimate saml есть несколько примеров, демонстрирующих систему единого входа, инициированную Idp.   -  person alexey    schedule 27.03.2015

Ответы (2)


arrow_upward
1
arrow_downward

Вам необходимо настроить доверие поставщика утверждений в ADFS, указывающее на вашего поставщика удостоверений. На вашем поставщике удостоверений настройте доверие RP обратно к ADFS.

Также веб-приложение ASP.NET должно использовать ADFS в качестве STS.

И претензии нужно оформить как проходящие.

См .: ADFS 2.0 На примере - Часть 1. ADFS как IP-STS и R-STS

Обновление:

Со стороны IP это их проблема. На вашей стороне настройте доверие вручную.

См .: ADFS: параметры конфигурации SAML.

Эти вопросы относятся непосредственно к входным параметрам.

Вам необходимо экспортировать ключ подписи токена ADFS (не нужно экспортировать закрытый ключ) и отправить его им. Им нужно отправить вам свой сертификат. После того, как вы настроили доверие вручную, щелкните вкладку сертификата и импортируйте их сертификат.

person rbrayb    schedule 28.04.2013
comment
Спасибо! Я думал, что именно так нужно настроить ADFS. Я просто не уверен, как я должен установить доверие, если IP-адрес не принимает файл FederationMetaData.xml и не может предложить его обратно в ADFS. Я знаю, что вы можете настроить траст вручную, но я в неведении относительно того, как должно выглядеть траст. Я также не уверен, какие сертификаты нужно обменивать. - person JGC; 29.04.2013
comment
Я проголосовал против этого ответа, потому что кажется, что ссылки теперь не функционируют, а информация, содержащаяся в них, не представлена ​​в ответе. Хотя цитирование источников приветствуется, важно указать соответствующую информацию из источника в ответе именно для такого сценария, когда источники исчезают. - person Thomas; 17.06.2015

arrow_upward
0
arrow_downward

несколько месяцев назад я задал этот вопрос:

  1. Мы создали тестовый сайт, на котором мы использовали технику аутентификации с помощью формы для аутентификации любого пользователя. Для авторизации любого пользователя в приложении требуется токен аутентификации.
  2. Поэтому для создания этого токена мы должны связаться с поставщиком удостоверений (IP), чтобы получить данные аутентифицированного пользователя.
  3. Для связи с IP-сервером мы использовали протокол SAML для отправки и получения запросов и ответов.
  4. IP уже предоставил нам данные о своих конечных точках и сертификат, который требуется для отправки и получения пакета SAML.
  5. Мы также отправили наши конечные точки, сертификаты и правила требований, чтобы они могли настроить наш тестовый сайт со своим сервером ADFS в качестве проверяющей стороны.
  6. В результате всего этого мы можем перенаправить анонимный доступ на нашем сайте на их сервер ADFS в форме запроса SAML.
  7. Они также могут обработать его и отправить нам ответ со всеми деталями пользователя, такими как имя, имя пользователя, адрес электронной почты и т. Д.
  8. Мы использовали стороннюю библиотеку .dll для создания и обработки запроса SAML, имя: ComponentSpace (http://www.componentspace.com/).
person Ranvijay Singh    schedule 15.06.2016