【发布时间】:2012-01-10 22:42:53
【问题描述】:
我没有安装访问控制服务 (ACS),但我在一些在线视频演示中看到 Salesforce 不在可用的预安装身份提供商列表中。 Salesforce 可以配置为 IdP(使用标准 SAML 2.0)。我可以设置 ACS 以便我可以将 Salesforce 用作身份提供者吗?谢谢
【问题讨论】:
标签: azure salesforce single-sign-on acs saml-2.0
【发布时间】:2012-01-10 22:42:53
【问题描述】:
我个人没有使用过 SAML 2.0 令牌提供程序,但官方描述说 ACS 支持 SAML 2.0 令牌。支持的协议列表包括 OAuth 2.0、WS-Trust 和 WS-Federation(official statement)。
此外,目前没有自动(使用用户界面)方式来添加 ACS 中预定义之外的身份提供者。但是,您可以使用 ACS cmdLets 手动添加具有受支持协议的 IP。 Here is a Vittorio's blog that shows how to add an openID provider.
如果您可以使用 SAML 2.0 令牌将 SalesFores 配置为 IdP,您只需识别协议 - 是否为 OAuth,是否为 WS-Federation 的 WS-Trust,并执行类似于这个:
PS:\>Add-IdentityProvider –Namespace "myacsnamespace" –ManagementKey "XXXXXXXX" -Type "Manual" -Name "SalesForce" -Protocol OAuth –SignInAddress "http://www.your_salesforce_site.com/sign-in-url"
此命令支持的协议列表为:WsFederation、OAuth、OpenId、WsTrust。因此,SalesForce IdP 配置必须使用其中一些带有 SAML 2.0 令牌的协议,并且它必须工作。我认为这是 this wiki 的 OAuth。
希望这会有所帮助!
【讨论】:
-
请注意,一般来说,所有这些协议都有不同的用途。它们不可互换。例如:WS-Trust 用于 SOAP Web 服务,WS-Federation 用于网站。即使他们重用令牌格式。
-
我很困惑。据我所知,SAML 2.0 标准不仅是关于令牌格式,它也是一种协议,它以与 WS-Federation、OAuth 和 OpenId 相同的方式描述通信规则,因此它是自给自足的。我认为 Salesforce 作为 IdP 仅使用 SAML 2.0,至少 Salesforce.com 上没有关于此协议的内容:login.salesforce.com/help/doc/en/identity_provider_about.htm。它只是说它支持 SAML 2.0。这是否意味着我不能在 ACS 中使用 Salesforce?
-
我真的很想在这里看到来自微软身份团队的人的意见。 @YMC,您是否查看过此 wiki:wiki.developerforce.com/page/…,其中描述了他们将 SAML 和 OAuth 分层,这可能是 ACS 的解决方案。
-
我看过它,这是一篇有趣的文章,但它并不能保证我花几天左右的时间探索 ACS 功能就能达到理想的结果。我希望有一种直接的方法可以在 ACS 中添加任意 saml 2.0 IdP,看起来没有。好的,无论如何这是一个结果,并且有助于了解。感谢您提供信息,+1
-
@YMC 你有没有得到这个工作?我还必须将 SAML2.0 IdP 与 ACS 集成并寻找一种方法。就我而言,它是一个 OpenAM IdP。