如何从Ping Federate服务提供商获取SAML响应到本地服务器？

Question

我在ping federate中为IdP和SP做了端到端配置。 SAML响应在IdP处生成，并且在SP处收到相同的响应。但是，我希望响应在我的本地服务器上，以便将用户的属性用于我的逻辑。有谁能告诉我应该如何实现？

我只是在Ping Federate配置的目标资源上获得openToken。

谢谢， Aswini J

Answer 1

总之，你不能。此外，您不需要实际响应，因为您的应用程序将需要知道它从您的合作伙伴（SAML 1.1,2.0，WS-Fed，OIDC）收到的协议消息类型并正确处理它。为了使开发人员能够更轻松地将他们的应用程序与PF集成，Ping提供了各种集成套件来从应用程序中抽象出协议数据。 PF处理基于标准的消息传递的复杂性，您的应用程序只需要解密并从经过验证的用户信息（属性/值对）中提取您当前在PF中使用的OTK。您可以在IDP连接中配置SP适配器，以包括收到的SAMLResponse中包含的各种身份信息。我将以OpenToken Integration Kit为起点。

Answer 2

在PingFederate术语中，您要完成的是在以SP角色运行的PingFederate服务器处理SAML断言之后的最后一英里集成。有两种方法最适合提供主题和方法。通过最后一英里集成的属性信息，主要是无代理参考ID集成套件或OpenToken集成套件。如果您的应用程序是Java，.NET或PHP，则可以使用Ping提供的集成示例。

最简单的配置是将SAML断言中的属性读入OpenToken，然后使用OpenToken集成工具包（PHP，Java或.NET），它是应用程序中的代理库。 OpenToken集成工具包的文档显示了要在应用程序中读取OpenToken的代码。 PingFederate SP Server中的配置需要SP适配器和IdP连接，其中SAML断言值映射到OpenToken，OpenToken也在OpenToken文档中。