Adfs

多次聯合到同一方時是否需要多個 ADFS 實例?

  • January 16, 2014

我目前處於 ADFS 推出的第一階段。如果您想與同一方或 SaaS 應用程序多次聯合,您似乎需要安裝多個“聯合服務”或 ADFS 實例。假設您有不同的使用者群使用應用程序的私有實例,或者您有多個沙盒環境和一個生產環境。其他人是如何處理的?

假設我想要一個 ADFS 實例。我所有的帳戶都在一個域中。有一個 AD 環境。不同的使用者集具有獨立的、唯一的 SaaS 應用程序實例。

假設saasprovider.com/groupasaasprovider.com/groupb是互斥的。

有幾個人向我提到了領域和 etity id……請具體說明。我不能為第二個 RP 信任提供相同的元數據文件。我必須有另一個 STS 或 ADFS 實例,對嗎?每個聯合服務安裝只能有一個 ertity id,對嗎?

每個身份數據庫應該有一個 STS(每個 Active Directory 林有 1 個 ADFS)和每個應用程序部署一個 RP(FederationMetadata.xml作為依賴方載入到 ADFS 中的文件)。

例如,生產和開發可以是同一 ADFS 伺服器上的兩個 RP。聯合元數據應隨安裝而更改。

EntityDescriptor/@entityID每個客戶端應用程序將在每次安裝時指定不同的實體 ID ( )。按照慣例,實體 ID 與應用程序安裝的根目錄相同。因此,如果您訪問 dev athttp://server/dev/Default.aspx和 prod at http://server/prod/Default.aspx,那麼您的實體可能分別是http://server/dev/http://server/prod/

FederationMetadata.xml就實際配置而言,如果手動輸入參數,則不需要文件。System.IdentityModel.Metadata否則,您可以使用(for .Net 4) 或Microsoft.IdentityModel.Protocols.WSFederation.Metadata(for <= .Net 3.5 on WIF)按需生成文件。

引用自:https://serverfault.com/questions/554199