São necessárias várias instâncias do ADFS ao federar a mesma parte várias vezes?

Navegue suas respostas
1

Atualmente, estou nos primeiros estágios de um lançamento do AD FS. Parece que você precisa instalar vários "serviços de federação" ou instâncias do ADFS se quiser federar com o mesmo participante ou aplicativo SaaS várias vezes. Digamos que você tenha populações de usuários diferentes que usam instâncias particulares de um aplicativo ou que você tenha vários ambientes de caixa de proteção e um ambiente de produção. Como outras pessoas lidam com isso?

Digamos que eu gostaria de ter uma instância do ADFS. Todas as minhas contas estão em um domínio. Existe um ambiente AD. Diferentes conjuntos de usuários têm instâncias independentes e exclusivas de um aplicativo SaaS.

Digamos que saasprovider.com/groupa e saasprovider.com/groupb sejam mutuamente exclusivos.

Várias pessoas mencionaram reinos e identidades para mim ... por favor, seja específico. Eu não posso dar a eles o mesmo documento de metadados para o segundo RP trust. Eu tenho que ter outra instância STS ou ADFS, certo? Você só pode ter um ID de ertidade por instalação de serviço de federação, certo?

    
por Joshua Toon 11.11.2013 / 18:25

2 respostas

1

Você deve ter um banco de dados STS por identidade (1 ADFS por floresta do Active Directory) e um RP por implantação de aplicativo ( FederationMetadata.xml documento carregado como parte confiável no ADFS).

Produção e Dev, por exemplo, podem ser dois RPs no mesmo servidor ADFS. Os metadados da federação devem mudar com a instalação.

Cada aplicativo cliente especificará um ID de entidade diferente ( EntityDescriptor/@entityID ) para cada instalação. É convencional ter o ID da entidade igual ao da raiz da instalação do aplicativo. Portanto, se você acessar o dev em http://server/dev/Default.aspx e o produto em http://server/prod/Default.aspx , suas entidades poderão ser http://server/dev/ e http://server/prod/ , respectivamente.

Em termos da configuração real, você não precisa de um arquivo FederationMetadata.xml se inserir os parâmetros manualmente. Caso contrário, você pode gerar o arquivo sob demanda usando System.IdentityModel.Metadata (para .Net 4) ou Microsoft.IdentityModel.Protocols.WSFederation.Metadata (para < = .Net 3.5 no WIF).

    
por 16.01.2014 / 06:22
1

Tudo depende e quantas instâncias de DA você precisa?

Cada instância do AD em um domínio separado requer outra instância do ADFS.

Você pode adicionar o mesmo RP quantas vezes quiser, desde que o ID da entidade, a região, etc. sejam diferentes.

Assim, você pode instalar o mesmo RP em muitos ambientes diferentes e todos eles podem usar a mesma instância do ADFS.

    
por 11.11.2013 / 20:05

Tags

Como lidar com DNS externo e interno no Windows 2012 É possível atualizar automaticamente o php.ini através de um script bash? [fechadas]