我有一个支持使用SAML 1.1的Web SSO的第三方程序(换句话说,它已准备好作为服务提供商)。
我们希望根据其Active Directory凭据为我们的Intranet用户实施此SSO。换句话说,他们已经登录到他们的系统,所以让我们简单地使用这些凭证来促进SSO。不过,我有点不知所措。
我最初的想法是IIS / Active Directory可以轻松地充当身份提供者,因为IIS为我们提供了“集成Windows身份验证”功能。我认为我们可以创建一个需要集成身份验证的.NET Web应用程序,它只需提取当前用户ID,构建SAML响应,然后使用此SAML响应将用户重新定向回服务提供者以完成SSO。 / p>
但是,我的问题是,我根本不知道如何创建这个SAML响应,涉及X.509证书等等......我想知道我是否对此表示满意,或者如果创建此SAML响应应该相对容易。
请注意,此SSO仅供Intranet用户使用,因此无需担心与其他公司/域联合。
答案 0 :(得分:4)
您可能需要考虑的另一个选项是Microsoft的Active Directory联合服务器(ADFS)2.0。
答案 1 :(得分:1)
我不打算尝试构建符合SAML的东西。使用工具包需要数周时间,您的工作可能只会处理一个用例。一旦定制到位,您很快就会意识到组织的其余部分也需要某种类型的SAML集成(内部或外部)。
最快(和恕我直言)最简单的方式(你会看起来像英雄)是使用来自www.pingidentity.com的PingFederate。如果你知道自己在做什么,就可以在不到一天的时间内完成并运行。
只需我0.02美元
HTH - Ian