我有一个用 WIF 制作的自定义 STS,可用作 IDP,现在我需要将 SSO 配置为用 SimpleSamlPHP 制作的服务提供商。 (SP 仅支持 Post Binding 和 Web Browser SSO Profile。)
任何,我应该如何处理这个要求的想法? WIF 是否支持 Post Binding 和 SAML 2.0?
任何想法将不胜感激, 谢谢!
【问题讨论】:
标签: c# single-sign-on wif saml-2.0 windows-identity
WIF对绑定没有限制,它只是一组Api,让Idps和Spses的开发更加容易。人们通常做的是在服务提供者上实现重定向绑定,在身份提供者上实现后绑定——我读过的所有书籍和教程都是这样的。这意味着服务提供者应该使用 wa=wsignin1.0 重定向到身份提供者,并且身份提供者使用包含发布给服务提供者的令牌的表单进行响应。
但是,我看不出有任何明显的原因您不能为双方实施后绑定。
据我所知,除了多年未更新的 ctp 之外,仍然没有对 WIF 的 SAML2 协议支持。如果您的服务需要 saml2,则必须查看一些商业实现,例如来自组件空间的实现。
【讨论】:
根据@Wiktor,WIF 中不支持 SAML。
但是您需要 SAML 堆栈的服务器端而不是客户端。
您最好的选择可能是将 ADFS v2.0 放在中间并将其用作提供 SAML 支持的代理。
如果您需要 SAML 支持,vote here。
【讨论】: