openamサーバーがサービスプロバイダーで、adfsサーバーがIDプロバイダーであるadfs + openamフェデレーションを行っています.openamサーバーにsp.xmlおよびsp-extend.xmlファイルを作成しました。adfs サーバー上の idp.xml および idp-extend.xml。
ただし、その sp.xml をインポートする場所は、Openam または adfs server のどちらでもかまいません。idp.xml についても同様です。私はこれについて混乱しています。構成を行うために次のサイトを参照しています。
https://wikis.forgerock.org/confluence/display/openam/OpenAM+and+ADFS2+構成
通常、idp.xml (ADFS メタデータ) は OpenAM にインポートされ、sp.xml (OpenAM メタデータ) は ADFS にインポートされます。
ADFS 側では、[証明書利用者信頼の追加] をクリックし、2 番目のオプション [証明書利用者に関するデータをファイルからインポート] を選択することでこれを行います。
ドキュメントは明確ではありません。OpenAM については、次のように簡単に説明します。
「次に ID プロバイダーをインポートします。これは、メタデータ XML ファイルをアップロードすることで実行できます。プロバイダーごとに、メタデータと拡張メタデータ ファイルの両方をアップロードする必要があります。」
これは、両方のファイル (idp と sp) を意味します。
ADFS の場合、最初の [証明書利用者信頼の追加] オプション (オンラインで公開された証明書利用者に関するデータのインポート) を使用することをお勧めします。
「ただし、ADFS では、OpenAM フェデレーション URL を使用してメタデータを動的に取得できます。したがって、最初のオプションを選択して、次の URL を使用します。
https://sso01.aaa.local:8443/opensso/saml2/jsp/exportmetadata.jsp
これにより、証明書利用者信頼がインポートされます。」
idp.xml のみを OpenAM にインポートしてから、2 つのオプションのいずれかを使用して sp.xml を ADFS にインポートします。