AD FS 2.0 与 PingIdentity / AppFabric Labs ACS

Question

可能是一个简单的问题，我只是在寻找已经实现此功能的人。我的 AppFabric Labs v2 目前正在使用带有 Active Directory 的 AD FS 2.0 服务器，一切都很好，然后链接到 AppFabric，并路由到我的 .NET 应用程序（依赖方）。

我的问题很简单 - 如何让 PingIdentity 与 AppFabric 配合使用并成为 STS 提供商？我尝试从 PingIdentity 管理系统导入 .XML 元数据，但没有任何进展。

人们将其 AD FS 2.0 服务器附加到 AppFabric，然后将 PingIdentity 作为声明提供者附加到其 AD FS 2.0 服务器，这是常见的途径吗？

Answer 1

将元数据导入 ACS 后发生了什么？您能否提供更多有关不起作用的详细信息？

关于：

是人们去往的常见途径
将其 AD FS 2.0 服务器连接到
AppFabric，然后附加 PingIdentity
到他们的 AD FS 2.0 服务器作为声明
提供商？

无论哪种方式都可以。 ACS仍然是“实验室”，所以没有多少生产系统上线，所以就实际案例而言，你会发现更多的ADFS<->Ping。但是，同样，这两种方法都可以，而这是“视情况而定”的方法之一。我假设您的 PingIdentity STS 是一个“身份提供商”（意味着它对用户进行身份验证），因此一般来说它将是链中的最后一个 STS。

在做出决定时，您需要问自己一些问题：

• 您需要多少资金来转换 Ping 发出的声明？您需要多强大的索赔转换能力？ （ADFS比ACS具有更强大的声明转换能力）
• Ping STS支持哪些协议？ （WS-Fed？SAMLP？：ADFS 支持 SAMLP，ACS 尚不支持）
• 谁拥有此 STS（您，合作伙伴？）您对每个 STS 有多少控制权？
• 您更喜欢管理哪个平台？您希望尽可能“不去打扰”哪一个？

另外，您标记了这个问题 作为“已回答”，但似乎与此相关。

Answer 2

PingFed 支持用于被动请求者配置文件（以及 SAML 1.0/1.1 和 2.0）OOTB 的 WS-Federation，以及用于主动配置文件用例的 SAML 1.1 和 2.0（作为主动和被动的 IDP 和 SP）。我相信 ACS 不支持 PRP 的 SAML 2.0，但它支持 WS-Federation。我认为 ACS 仅支持主动请求者配置文件的 SAML 2.0 令牌。

在 ACS 中更换 IDP 端点应该不难，但我从未研究过这是如何完成的。

HTH——伊恩