多次聯合到同一方時是否需要多個 ADFS 實例?
我目前處於 ADFS 推出的第一階段。如果您想與同一方或 SaaS 應用程序多次聯合,您似乎需要安裝多個“聯合服務”或 ADFS 實例。假設您有不同的使用者群使用應用程序的私有實例,或者您有多個沙盒環境和一個生產環境。其他人是如何處理的?
假設我想要一個 ADFS 實例。我所有的帳戶都在一個域中。有一個 AD 環境。不同的使用者集具有獨立的、唯一的 SaaS 應用程序實例。
假設saasprovider.com/groupa和saasprovider.com/groupb是互斥的。
有幾個人向我提到了領域和 etity id……請具體說明。我不能為第二個 RP 信任提供相同的元數據文件。我必須有另一個 STS 或 ADFS 實例,對嗎?每個聯合服務安裝只能有一個 ertity id,對嗎?
每個身份數據庫應該有一個 STS(每個 Active Directory 林有 1 個 ADFS)和每個應用程序部署一個 RP(
FederationMetadata.xml
作為依賴方載入到 ADFS 中的文件)。例如,生產和開發可以是同一 ADFS 伺服器上的兩個 RP。聯合元數據應隨安裝而更改。
EntityDescriptor/@entityID
每個客戶端應用程序將在每次安裝時指定不同的實體 ID ( )。按照慣例,實體 ID 與應用程序安裝的根目錄相同。因此,如果您訪問 dev athttp://server/dev/Default.aspx
和 prod athttp://server/prod/Default.aspx
,那麼您的實體可能分別是http://server/dev/
和http://server/prod/
。
FederationMetadata.xml
就實際配置而言,如果手動輸入參數,則不需要文件。System.IdentityModel.Metadata
否則,您可以使用(for .Net 4) 或Microsoft.IdentityModel.Protocols.WSFederation.Metadata
(for <= .Net 3.5 on WIF)按需生成文件。