2

Windows_Server-2008-R2_SP1-English-64Bit-Base-2014.04.09 を実行している AWS EC2 に PingFederate をインストールしました。認証に Spring Security を使用する Java アプリケーションがあります。

PingFederate を使用して、ID プロバイダー (IdP) とサービス プロバイダー (SP) をセットアップする方法について読みました。IdP は、ログイン資格情報 (ID) を提供するアプリケーション ユーザーであり、これを、このページのこの図の SP とは別のターゲット アプリケーションを持つ SP に渡すことを収集しました。

http://documentation.pingidentity.com/display/PF66/Service+Providers+and+Identity+Providers

この画像は、IdP と SP の両側にある Federated Identity ソフトウェアも示しています。

構成オプションが何であるかを確認するためだけに、ローカルの PingFederate サーバーで IdP と SP を作成しましたが、Spring Security アプリケーションの SSO を実際に使用できるようにする必要があるこの部分について混乱しています。

私の質問は次のとおりです。

  1. 私がやろうとしていることを実装するには、IdP と SP が必要ですか。

  2. 現在、ユーザー名とパスワードは SQL Server に保存されていますが、これを利用して PingFederate がユーザーの認証に使用できますか?

  3. これにはSpring Security SAMLを使用する必要がありますか、それとも別のルートがより適切でしょうか?

助けてくれてありがとう。PingFederate に連絡しましたが、私の地域ソリューション アーキテクトはたまたま金曜日まで不在です。

また、自分の考えが完全にずれている場合はお詫び申し上げます。必要なことに気を配ろうとしています。

4

2 に答える 2

5

Ping とアプリケーション間のフェデレーションを確立することが目標であると仮定すると (たとえば、認証を外部化するか、シングル サインオンを有効にするため)、その考えは正しいです。

Ping Federate は ID プロバイダー (IDP) として機能し、SQL サーバーに接続するように構成できるため、そこから既存のユーザーを認証できます。IDP は、サービス プロバイダー (SP) と呼ばれる他のアプリケーションと通信します。

したがって、Ping に接続するには、アプリケーションが SAML 2.0 サービス プロバイダーとして機能できる必要があり、Spring SAML を使用することは、それを可能にする非常に良い方法です。

SP と IDP 間のシングル サインオンの典型的なデータ フローは次のようになります。

  1. ユーザーは、認証が必要な SP アプリケーションにアクセスします
  2. SP は AuthenticationRequest を作成し、それを IDP に送信します (ユーザーのブラウザでリダイレクトを使用)
  3. IDP はリクエストを処理し、ユーザーを認証します
  4. IDP は AuthenticationResponse メッセージで SP に応答します
  5. SP は応答を処理し、含まれているデータに基づいてユーザーのセッションを作成します
于 2014-05-08T06:21:50.517 に答える
3

Spring アプリと PingFederate の間に SAML が必要であるという前提があります。それがどのように展開されているかによって、またそうでない場合もあります (Andy K のフォローアップの質問を参照してください)。可能な解決策として、OpenToken Integration Kit for Java または Ping の ReferenceID Int Kit を確認してください。必要のない別の SAML ソリューションを一緒にハックしようとするよりも、統合がはるかに簡単です。ただし、シナリオに最適なアプローチを提供できる RSA に相談することをお勧めします。

于 2014-05-08T15:27:05.257 に答える