問題タブ [pingfederate]

サプライヤは、SAML ベースのシングル サインオンに Ping Federate を使用します。基本的な ID プロバイダーを実装するカスタム SAML 2.0 コードがあります。URL と HTTP Post を使用して、IDP で開始された SSO を実行しています。PF サービス プロバイダーはhttps://domain/sp/startSSO.pingにあります。PF サーバー上で応答 (アサーション) を投稿する URL は?

必要な URL の正式な名前は、Assertion Consumer Service (ACS) エンドポイントだと思います。

SSOにPingFederateを使用しています。私のアプリケーションはSPとして機能しており、SPによって開始されたSSOを試しています。署名されたPingFederateにSAMLRequestを送信しています。ただし、SAMLRequest9authnRequestに記載されているACSURLにSAML応答を送信していません。

デフォルトのアサーションコンシューマURLが取得されず、SAMLRequestで送信されたものが使用されるように設定を手伝ってもらえますか？

これは、PingIdentityとACSの知識を持っている人にとっては本当に問題になるでしょうが、これはかなり限られている可能性があります。

ACSをセットアップし、すべて正常に動作し、カスタムSTS（PingIdentity）を追加する方法を知っていますが、認証に使用するPingIdentity Federation MetaData（FederationMetaData.xml）が見つかりません。

どうやら私たちの現在のシステムのワークフローはそのようなものです：

私たち->私たちのPingIdentityサーバー->サプライヤー->サプライヤーのPingIdentityサーバー->トークンを私たちにルーティングします。

探しているものを達成するために、ローカルのPingIdentity Federation MetaDataをSTSとして使用する必要がありますか（同じシナリオですが、ACSを使用します）？そして、これはどこにありますか？

前もって感謝します。

Ping Identity から ACS プロバイダーにメタデータ ファイルをインポートした経験のある人はいますか?

Ping Identity 管理システムにログインしていますが、問題ありません。次に、idP ファイルをエクスポートすると、デジタル署名が含まれていないため、このファイルを ACS にインポートできません。署名が含まれていないというメッセージが表示されます。

他の誰かがこの問題に直面し、回避策について何か考えがありますか? 私はそれがかなり複雑であることを理解しているので、指が交差しました.

簡単な質問かもしれませんが、私はこれを実装している人を本当に探しています。AppFabricLabsv2が現在ActiveDirectoryを備えたADFS2.0サーバーで動作しているので、これで問題ありません。これでAppFabricにリンクされ、.NETアプリ（依存側）にルーティングされます。

私の質問は単純です-PingIdentityをAppFabricと連携させ、STSプロバイダーとして立ち上げるにはどうすればよいですか？PingIdentity管理システムから.XMLメタデータをインポートしようとしましたが、喜んでいませんでした。

AD FS 2.0サーバーをAppFabricに接続してから、PingIdentityをクレームプロバイダーとしてAD FS 2.0サーバーに接続するための一般的なルートはありますか？

与えられた：

• PingFederateはシングルサインオン（SSO）ソリューションであり、単一のユーザー名とパスワードを使用して1-nアプリケーションでユーザーを認証できます。

高レベルの質問：

• PingFederateのシングルログオフ（SLO）機能はどのように機能しますか？
• そして、SLOは一般的にどのように機能しますか？

与えられた：

• SLOプロセスを開始するには、ユーザーがブラウザーからSLOエンドポイントを要求することを期待します（つまりhttps://[PingFederateInstance]/idp/startSLO.ping?PartnerSpId=[PartnerSpId]）。
• また、SLOの呼び出しが成功した後、PingFederateインスタンスがリダイレクトを発行すると想定できます。

特定の質問：

• しかし、複数のブラウザウィンドウに複数のアプリケーションがある場合はどうでしょうか。
• フェデレーションIDプロバイダーは、複数のアプリケーションにユーザーセッションを終了するようにどのように指示できますか？

@Scott T.の答えから構築：

... PingFederate（IdPとして機能）は、特定のセッションでフェデレーションしたSPを認識します。ユーザーがSLOを開始すると（IdPで-提供した例から-SPから開始することもできます）、ユーザーブラウザー（リダイレクトまたはPOSTバインディングを想定）がSAMLLogoutRequestを使用して各SPに送信されます。

https://[PingFederateInstance]/idp/startSLO.ping?PartnerSpId=[PartnerSpId]server.logによると、リクエストすると、PingFederateは1つのLogoutRequestのみを発行します。

私の質問：

• 複数のSPとフェデレーションした場合、フェデレーションSPごとに1つのリクエストを発行するようにPingFederateを構成するにはどうすればよいですか？

私はそれを信じる傾向があります：

1. この画面で何かを設定する必要があります。
2. 複数のSPログアウト要求が「チェーン化」されるという考えに同意して、最後のエンドポイントURLは/idp/SLO.saml2である必要があります。

PingFederate を使用して SLO を試みています。SP アプリの 1 つは、cookieless セッションを使用するように構成されています。PingFederate のこの SP アプリは、たとえば「http://site/logout.aspx」のようにログアウト URL が設定されていますが、SLO プロセスがトリガーされると、PingFederate はブラウザーをこの URL に正常にリダイレクトしますが、まったく別のセッションにリダイレクトします。 SSO が最初に作成されたときに生成されたものよりも。SSO プロセスで作成されたセッションを再利用して SP のログアウト ページにリダイレクトするように PingFederate を構成するにはどうすればよいですか?

編集：何かを言及するのを忘れてすみません。実際には、IdP アプリケーションと SP アプリケーションの両方が ASP.NET で開発されています。Cookie を使用しないということは、SP アプリケーションの web.config ファイルに次のセッション状態構成が含まれていることを意味します。

この sessionState 構成により、URL は 'http://site(S(pvvofbemnrmaixo2emaaeo0t))/Home.aspx' のようになります。これは、'http://site/Home.aspx' が呼び出されたときと同様に、SSO では問題ありません。新しいセッションが作成されるため、URL を置き換えて "(S(blahblah))" を含めますが、SP のログアウト URL (http://site/logout.aspx) が SLO プロセスによって呼び出されると、 SP サイトが生成されます (SSO によって最初に作成されたものとは異なります)。したがって、元の SP サイト セッションは終了しません。

シングルログアウト（SLO）を呼び出した後、で「GET」を呼び出すことによりhttps://[PingFederate Server Instance]:[Port]/idp/startSLO.ping、PingFederateサーバーはSPログアウトサービスへの要求を開始します。[フィドラーで起こっているのを見ることができるので、私はこれを知っています。]

しかし、途中のどこかで、SPの1つにログアウトサービスを定義するのを忘れていたようです。

私の質問：

• どのSPを参照していますか？
• このエラーを解決するにはどうすればよいですか？

2011-11-25 21：40：16,923警告[org.sourceid.servlet.ErrorServlet]トップレベルエラー（ref＃wprmxs）：org.sourceid.saml20.adapter.AuthnAdapterException：ログアウト機能が呼び出されましたが、ログアウトサービスが構成されていませんこのアダプタ。 org.sourceid.websso.profiles.ProcessRuntimeException：org.sourceid.saml20.adapter.AuthnAdapterException：ログアウト機能が呼び出されましたが、このアダプターにログアウトサービスが構成されていません。org.sourceid.websso.profiles.ResumableResponseHandlerBase.resume（ResumableResponseHandlerBase.java:50）at org.sourceid.saml20.profiles.idp.HandleLogoutResponse.doIt（HandleLogoutResponse.java:154）at org.sourceid.saml20.profiles.idp .HandleLogoutResponse.handleException（HandleLogoutResponse.java:80）at org.sourceid.websso.profiles.ResponseHandlerBase.process（ResponseHandlerBase.java:86）at org.sourceid.saml20.profiles.ProfileProcessManager.doHandleResponse（ProfileProcessManager.java:92）at org.sourceid.webssoの$ProfileProcessMgmtService_132f8e9ec21.doHandleResponse（$ ProfileProcessMgmtService_132f8e9ec21.java）。parseNext（HttpParser.java:514）at org.mortbay.jetty.HttpParser.parseAvailable（HttpParser.java:211）at org.mortbay.jetty.HttpConnection.handle（HttpConnection.java:380）at org.mortbay.jetty.bio .SocketConnector $ Connection.run（SocketConnector.java:228）at com.pingidentity.appserver.jetty.DynamicSslSocketConnector $ SslConnection.run（DynamicSslSocketConnector.java:637）at org.mortbay.thread.BoundedThreadPool $ PoolThread.run（BoundedThreadPool.java ：450）原因：org.sourceid.saml20.adapter.AuthnAdapterException：ログアウト機能が呼び出されましたが、このアダプタにログアウトサービスが設定されていません。com.pingidentity.adapters.opentoken.IdpAuthnAdapter.logoutAuthN（IdpAuthnAdapter.java:270）at org.sourceid.saml20.profiles.idp.AdapterSupport.logoutAuthN（AdapterSupport.java:306）atorg.sourceid.saml20.profiles。

https://[PingFederate Server Instance]:[Port]/sp/startSLO.ping で「GET」を呼び出してシングル ログアウト (SLO) を呼び出した後、PingFederate サーバーが SP ログアウト サービスへの要求を開始します。[Fiddler で起こっているのを見ることができるので、私はこれを知っています。]

しかし、私の SP の 1 つが呼び出されると“https://<PingFederate DNS>:XXXX” + request.getParameter(“resume”);(@Scott T. の回答hereに従って)、エラー メッセージが表示されます。

エラー - シングル ログアウト失敗 応答ステータス: urn:oasis:names:tc:SAML:2.0:status:Requester ステータス メッセージ: 無効な署名 シングル ログアウト リクエストが正常に完了しませんでした。ID プロバイダーと各サービス プロバイダーからログアウトするには、すべてのブラウザー ウィンドウを閉じます。パートナー: XXXX:IDP ターゲット リソース: http://<domain>/<default SLO endpoint>

私の質問:

• このエラー メッセージは何を指していますか?
• このエラー状態を解決するにはどうすればよいですか?