为什么PingFederate IdP连接需要SP适配器?

时间:2018-08-31 07:03:53

标签: pingfederate

我已经阅读了PingFederate文档,上面写着:

  

SP适配器用于为用户创建本地应用程序会话   为了让PingFederate®提供对您的应用程序的SSO访问   或其他受保护的资源。您必须配置至少一个实例   SP适配器以建立与IdP合作伙伴的连接。您   也可以配置适配器的多个实例(基于一个或多个   更多的适配器)来满足您的IdP合作伙伴的不同需求。

但是我不明白为什么IdP连接需要SP适配器?为什么需要它,它实际上有什么作用?

在用例中,我将PingFederate用作OAuth服务器,并通过SP发起的SSO向外部IDP验证用户,然后在连接的OAuth属性映射中将Assertion属性直接映射到持久授权中。为什么这还不够,我不了解对SP适配器的需求?与IdP连接本身相比,如何以及由谁来引用适配器更多?

1 个答案:

答案 0 :(得分:3)

您是完全正确的,在某些情况下(例如您),不需要SP适配器。

在您的IdP连接下,浏览器SSO>用户会话创建>身份映射下,有一个“无映射”选项,它将避免映射到SP适配器。有关更多详细信息,请参见:https://documentation.pingidentity.com/pingfederate/pf91/index.shtml#task_selectingIdentityMappingMethod.html

PingFederate 8.1中引入了“无映射”选项,因此,如果您使用的是较早的版本,则可能不可用。在这种情况下,“虚拟” SP适配器应映射到您的连接中(即使可能不使用)。