基于Active Directory的SAML身份提供商

Question

我有第三方程序，使用SAML 1.1（它已准备好作为服务提供商，换句话说）支持Web SSO。

我们希望基于Active Directory凭据为我们的Intranet用户实施此SSO。换句话说，他们已经登录到他们的系统，所以我们只需使用这些凭据来实现SSO。不过，我有点不知所措。

我最初的想法是IIS/Active Directory可以很容易地作为身份提供商，因为IIS提供了“集成Windows身份验证”功能。我想我们可以创建一个需要集成身份验证的.NET Web应用程序，该应用程序只需提取当前用户标识，构建SAML响应，然后使用此SAML响应将用户重定向回服务提供程序以完成SSO。

但是后来，我的问题是，我根本就没有真正的想法如何去创建这个SAML响应，涉及的X.509证书等等......我想知道如果我在这个头上，或者如果创建这个SAML响应应该相对容易。

请注意，此SSO仅供内联网用户使用，因此无需担心与其他公司/域的联合。

Answer 1

我不打扰试图建立一些SAML兼容。你需要几个星期才能使用一个工具包，你的努力可能只会处理一个用例。一旦你定制了一些定制的东西，你很快就会意识到你的组织的其他组织也需要某种类型的SAML集成（无论是内部的还是外部的）。

最快的（和恕我直言）最简单的方法（你会看起来像一个英雄）是使用像PingFederate从www.pingidentity.com。如果你知道自己在做什么，你可以在一天内完成并运行。

只是我的$ 0.02

HTH - 伊恩

Answer 2

，你可能要考虑的另一个选择是微软的Active Directory Federation服务器（ADFS）2.0。