0

私は現在、PingFederate ソフトウェアの評価版を使用し、常にドキュメントを読んでいますが、SP 用に複数の IdP を作成する方法を理解するのにまだ苦労しています。

私はサービスをホスティングしており、PingFederate を SP として設定しています。現在、テストでは 1 つの IdP があり、すべて正常に動作しています...トラフィックをインターセプトするように IIS エージェントをセットアップしました。SP にリダイレクトして、SP が開始した SSO を開始し、すべて正常に動作します (デフォルトの startSSO に入る) url)。

ただし、複数の IdP 用にシステムを構成する方法を確認するのに苦労しており、誰かが高レベルの概要を説明したり、ドキュメントを教えてくれたりできるかどうか疑問に思っていましたか?

2 番目の IdP 接続を構成する必要があることは理解していますが、PartnerIdpId URL パラメーターを使用して、ユーザーが送信される IdP を区別する必要があることを理解しています....しかし、異なる Idp にルーティングするためにその制御/構成をどこで行うのかわかりません? 異なる URL をリッスンし、エージェント構成ファイル内の適切な SP URL (/startSSO?partnerIdpId=XYZ) に要求自体を転送できる IIS ボックスに複数のエージェントが必要ですか?

助けてくれてありがとう、クレイグ

4

1 に答える 1

1

あなたの質問は、IIS Integration Kit を使用しているときに複数の IDP に対して SP-Init SSO をトリガーする方法に関するものだと思います。

おわかりのように、サービス プロバイダーとして、複数の IDP 接続を作成できます (それぞれに固有のエンティティ ID があります)。/sp/startSSO.ping アプリケーション エンドポイントを呼び出して SP-Init SSO をトリガーし、AuthnRequest を発行する IDP の EntityID と一致する適切な PartnerIdpId 値を渡します。これは、IIS キットの pfisapi.conf ファイルに URL をハードコーディングして、毎回 1 つのエンティティが呼び出されるようにする方法 (最適な解決策ではありません) のいずれかを行うか、ページで URL を手動でホストすることができます。 IIS キットでは保護されていません。残念ながら、この設計上の決定の多くは、IIS アプリケーションの設計方法と統合キットの選択にかかっています。

RSA と話し合うことをお勧めします。RSA は、各統合キットの長所と短所を示して、アプリケーションと顧客にとって何が最適かを判断するのに役立ちます。

HTH、イアン PS 私は Ping で働いています。

于 2013-10-01T19:50:48.073 に答える