我目前正在使用PingFederate软件的评估版本并一直阅读文档,但仍然很难理解我如何为我的SP创建多个IdP。
我正在托管服务,并将PingFederate设置为SP。目前在我的测试中我有一个单一的IdP,一切正常...我已经设置了IIS代理来拦截流量,它重定向到我的SP以启动SP发起的SSO并且一切正常(进入默认的startSSO) URL)。
然而,我很难看到我如何为多个IdP配置系统,并且想知道是否有人可以提供高级概述或指出我的某些文档?
据我所知,我必须配置第二个IdP连接,并且我需要使用PartnerIdpId URL参数来区分用户被发送到哪个IdP ....但我不确定我在哪里进行路由控制/配置到不同的Idps?我的IIS框上是否需要多个代理来侦听不同的URL,然后可以将请求本身转发到代理配置文件中的正确SP URL(/ startSSO?partnerIdpId = XYZ)?
感谢您的帮助, 克雷格
答案 0 :(得分:1)
我认为您的问题更多的是在使用IIS Integration Kit时如何为多个IDP触发SP-Init SSO。
正如您所知,作为服务提供商,您可以创建多个IDP连接(每个都有自己唯一的EntityID)。您可以通过调用/sp/startSSO.ping应用程序端点来触发SP-Init SSO,并传入与您要发出AuthnRequest的IDP的EntityID相匹配的相应PartnerIdpId值。您可以通过以下两种方式之一执行此操作 - 将URL硬编码到IIS Kit pfisapi.conf文件中,以便每次调用单个实体(不是最佳解决方案),或者您可以在页面上手动托管URL不受IIS套件的保护。不幸的是,很多这样的设计决定取决于您的IIS应用程序的设计方式和集成套件的选择。
我建议您使用RSA进行讨论,因为它们可以帮助向您展示每个集成套件的优缺点,以匹配最适合您的应用程序的功能。顾客。
HTH, 伊恩 PS 我为Ping工作。