問題タブ [pingfederate]

PingFederateのドキュメントには、 SPまたはIDPシングルログアウト（別名SLO）のいずれかを構成できることが記載されています。

ユーザーがブラウザから「Start-SLO」エンドポイントを要求すると、ユーザーはSLOを開始します（つまり、またはのいずれhttp://<PingFederate Base URL>/sp/startSSO.pingかhttp://<PingFederate Base URL>/idp/startSSO.ping）。

私の質問：

• これは名前だけの違いではありませんか？
• 結局のところ、とにかくエンドポイントをターゲットにしているだけではありませんか？
• この選択は、SLOプロセスに重大な影響を及ぼしますか？

@Scott T.はここで次のように言っています：

ユーザーがIdPでSLOプロセスを開始した場合、はい-ユーザーは最後のステップとして/idp/SLO.saml2にリダイレクトされます。実際、ログアウトのためにリダイレクトする各SPは、次のSPからログアウトするためにIdPにリダイレクトされます。SPからSLOプロセスを開始する場合、ユーザーが最終的に到達する最後の場所は、そのSPのSLOエンドポイントです。

確かに、PingFederateが最後のステップとしてSLOを開始したSPにリダイレクトされればいいのですが、これは私の経験ではありません。

おそらく私も尋ねるべきです：

• SLOを開始したSPをどのように指定しますか？

編集： @Scott T.の回答によると：

ここでは、IdPおよびSPとしてPingFederateがあると想定しています（2つの別々のインストールの可能性があります）。

IdPとSPの定義を理解しているので：

• PingFederateは私のIdPでもSPの1つでもありません。**
• 私の構成では、PingFederateはIdPとSP間のオープントークン転送を容易にするだけです。
• ごく最近まで、これは完全に有効な構成であると私は信じていました。
• しかし今では、この構成はSLOを促進しないようです。または、少なくともPingFederateが私のIdPとして機能していた場合と同じくらいうまくいきます。
  • これは正しいです？

**私がこれを言うとき、私は私が持っていると言うことを意味します：

• ユーザーを認証し、ユーザー名とパスワードを含むバッキングストア（つまりデータベース）を持つスタンドアロンのWebアプリケーション-これは私のIdPとして機能します。
• IdPにリンクされ、データを表示してユーザーに機能を提供する複数のスタンドアロンWebアプリケーション-これらはSPとして機能します。

予想どおり、シングルログアウト（SLO）を開始すると、さまざまなSPログアウトサービスエンドポイントに到達します。

ただし、opentokenからより多くの情報を受け取りたいです。

現在、私のSPはトークンで次の属性を受け取ります。

not-before
subject
not-on-or-after
renew-until

私の質問：

• SPログアウトサービスに到達したときに、トークンでより多くの属性を受け取るにはどうすればよいですか？

編集： @Scott T.の回答による：

SLO時にこれらの属性にアクセスできるということは、opentokenがCookieで送信されるか、アプリケーションセッションのSPでこれらの属性をローカルに維持していることを意味します。

• 私の構成では、IdPアダプターとSPアダプターの両方があります。
• これらの各アダプターの拡張コントラクトに属性を追加しました。
• では、IdPアダプターのログアウトサービスに到達し、オープントークンを解析すると、拡張コントラクトの属性を含む すべての属性が表示されるのはなぜですか？
  • 一方、SPアダプターのログアウトサービスのいずれかに到達すると、解析されたオープントークンに拡張コントラクト属性が表示されませんか？
• IdPアダプタのログアウトサービスはそのように特別ですか？

IdP と複数の SP をセットアップするために PF 5.2.0 を使用しています。私の質問は、シングル ログアウト シナリオに関するものです。

IdP を使用して SP1 と SP2 によってセッションが確立されている場合、IdP で開始されたログアウトでは、両方の SP に samlp:LogoutRequest を発行することで正常に機能します。IdP とのセッションを確立した後に SP の 1 つがダウンし、SLO が完了しない場合、問題に直面しています。つまり、SP1 がダウンしている場合、samlp:LogoutRequest は SP2 に送信されません。最初のログアウト要求がダウンしている SP1 に送信されると仮定します。

私は POST バインディングを使用していますが、これはリダイレクトでも同じ結果になると思います

コメントお待ちしております..

-Vj

PingFederateがソルトされたMD5ハッシュパスワードを使用してアカウントを認証する方法を誰かに教えてもらえますか？

ありがとう。

IdPとしてPingFederateの実装を検討しています。

PingFederate は SP としても機能します。PingFederate が SP として機能する場合、IdP として機能する PingFederate インスタンスとは別のサーバーでホストすることをお勧めします。

私たちは教育機関です。PingFederate IdP への統合アプリケーションの一部には、SP の PingFederate ライセンスを購入する予算がない可能性があります。Internet2 のオープンソース SP を使用していますか?

次の認証フローをサポートする必要があります

• ユーザー 1 は、Salesforce 資格情報を使用して Salesforce にログインします

• ユーザ 2 は Arcot +Ping + Siteminder クレデンシャルを使用して Salesforce にログインします

• ユーザ 2 は Arcot + Ping + Siteminder クレデンシャルを使用してカスタム アプリケーションにログインします

上記の認証方法はすべて SAML であるため、認証フローの異常な「メッシュ」であるホーム レルムの検出に対処する方法を見つける必要があります。

質問

このシナリオを処理するには、IDP と RP をどのように設定すればよいですか?

ホーム レルムの検出はどのように機能しますか?

私の顧客は ping フェデレート インストールを使用しており、互換性のない認証応答ドキュメントを生成しているようです。ドキュメントは整形式で、不正な文字が含まれていません。

大きな問題は、ドキュメントのノードのノード名に「ds:」が含まれていないことです。私の認証ライブラリ ( omniauth-saml ) は検証時に ds 名のみを検索するため、これは残念です。

ライブラリに問題がありますか？Ping Federate SAML ドキュメントに問題がありますか? XPath の「contains」ヘルパーを使用するようにマッチャーにパッチを適用し始めましたが、それでもドキュメントのダイジェストと証明書が正しい値に計算されません。

1. ライブラリに問題がありますか？
2. Ping Federate SAML ドキュメントに問題がありますか?
3. Ping Federate ドキュメントは、正規化された場合でも検証する必要がありますか?

SAML 応答のサンプルを次に示します。

SP によって開始された SSO を使用して、PingFederate を Salesforce と統合する必要があります。

私の目的は、Active Directory のユーザーが Salesforce アプリケーション URL にアクセスしたときに自動的にログインできるようにすることです。PingFederate で Salesforce への SP 接続を作成し、Salesforce に PingFederate 証明書をアップロードしました。Salesforce で IdP 発行者エンティティ ID を PingFederate のものと一致するように設定しました。

SP によって開始される SSO の場合、このセットアップが正しく機能しているかどうかをテストするためにブラウザに与える必要がある URL はどれですか?

PingFederate で証明書の失効がどのように機能するかを知りたいだけです。

接続で使用される証明書の有効期限についてどこから読んだのですか? 接続とそれぞれの証明書に関するすべての情報で構成されるファイルはありますか?

SSOを有効にするためにPingFederateを使用しています。LDAPディレクトリサーバーにマッピングされており、当サイトではSSOを使用できます。現在、私たちは自分のサイト内のどこかでホストされているヘルプデスクソフトウェアアプリケーションを統合しています。ヘルプデスクユーザーがサイトのクレデンシャルを使用してログインできるようにする必要があります。そのために、IdPとして機能するPingFederateのパートナー（SP）としてヘルプデスクを追加する必要があります。

どうすればこれを達成できますか？簡単な説明が役立ちます。前もって感謝します。