我有第三方程序,使用SAML 1.1(它已准备好作为服务提供商,换句话说)支持Web SSO。基于Active Directory的SAML身份提供商
我们希望基于Active Directory凭据为我们的Intranet用户实施此SSO。换句话说,他们已经登录到他们的系统,所以我们只需使用这些凭据来实现SSO。不过,我有点不知所措。
我最初的想法是IIS/Active Directory可以很容易地作为身份提供商,因为IIS提供了“集成Windows身份验证”功能。我想我们可以创建一个需要集成身份验证的.NET Web应用程序,该应用程序只需提取当前用户标识,构建SAML响应,然后使用此SAML响应将用户重定向回服务提供程序以完成SSO。
但是后来,我的问题是,我根本就没有真正的想法如何去创建这个SAML响应,涉及的X.509证书等等......我想知道如果我在这个头上,或者如果创建这个SAML响应应该相对容易。
请注意,此SSO仅供内联网用户使用,因此无需担心与其他公司/域的联合。
尽管Ping是这方面的黄金标准产品,但它并不便宜。 ADFS和Azure ACS是不错的选择。 – 2011-05-29 18:02:58