wtrealm、WS-Federation Passive URL和app ID是什麼關係?
我正在研究使用 Microsoft 的 OWIN WS-Federation 包進行 ADFS 集成,但我發現很難從可用的文件中確定某些參數的用途。
我們有三個環境,它們都在內部託管在與我們嘗試對其進行身份驗證的 ADFS 系統完全不同的系統上。
根據我的研究,我對身份驗證過程的工作原理有了基本的了解,但我可以澄清一下這些關鍵字在什麼地方適合依賴方信任配置過程、它們的用途以及它們之間的關係,以便更好地傳達什麼我們需要從 ADFS 系統的(第三方)所有者處進行設置。
- WS-Federation 被動 URL
- 應用程序 ID
- 作為 GET 參數提供給 ADFS 登錄門戶的“wtrealm”參數。
我知道 wtrealm 參數對應於 RPT 中的應用程序 ID,但是 WS-Federation URL 來自哪裡?這是客戶端將被重定向到進行身份驗證的 URL 嗎?在這種情況下,我是否需要為每個環境(開發、測試、生產)提供單獨的 RPT?多個應用 ID 的案例是什麼?
對此的任何啟示都會非常有用。
這確實是一個令人困惑的問題。對於幾乎相同的事情,有不同的標準(SAML、WSfed、OAuth)有自己的術語。這些術語在網關中被使用/混淆/一起(以混合方式),導致術語混合。
除此之外,配置包含(SAML 令牌)頒發者(例如 ADFS 的 IdP/IP)屬性和應用程序 (SP/RP) 屬性。雪上加霜,有些人發明了自己的術語,希望它能澄清事情(而不是相反)。
每一方都由其
EntityID(在 WSFed 和 SAML 元數據中)在全球範圍內唯一標識,必須是 UR I(UR L很流行)。它(在 WsFed 中)確實是wtrealm=AppID.除此之外,每一方都有一個端點(URL,真實地址),它提供功能(例如接收 SAML 令牌)。聯合 URL 就是其中之一。根據您所談論的配置元素,它可能是 IP 或 RP。
最後但並非最不重要的一點是,有幾個(有時相同)證書,其中一個用於簽署 SAML 令牌,通常唯一標識(屬於)當事方 (
EntityID)。