Как получить ответ SAML от поставщика услуг Ping Federate на локальный сервер?

Question

Я сделал сквозную конфигурацию для IdP и SP в федерации ping. Ответ SAML генерируется на IdP, и тот же самый получен в SP.But, я хочу, чтобы ответ был на моем локальном сервере, чтобы использовать атрибуты пользователя для моей логики. Может ли кто-нибудь сказать мне, как это должно быть достигнуто?

Я просто получаю openToken в целевом ресурсе, который я настраиваю в Ping Federate.

Спасибо, Ашвини J

Answer 1

В терминологии PingFederate то, что вы пытаетесь выполнить, является последней милой интеграции после утверждения SAML сервером PingFederate, работающим в роли SP. Существует два подхода, которые лучше всего подходят для предоставления информации об атрибутах объекта & с помощью интеграции последней мили, в основном, комплекта интеграции идентификационных ссылок без агента или набора интеграции OpenToken. Если ваше приложение - Java, .NET или PHP, есть примеры интеграции, доступные из Ping.

Самая простая конфигурация - считывать атрибуты из утверждения SAML в OpenToken, а затем использовать комплект интеграции OpenToken (PHP, Java или .NET), который является библиотекой-агентом в вашем приложении. Документация для комплекта интеграции OpenToken показывает код для записи, чтобы прочитать OpenToken в вашем приложении. Конфигурации на сервере PingFederate SP потребуется адаптер SP и соединение IdP, где значения утверждения SAML отображаются в OpenToken, который также содержится в документации OpenToken.

Answer 2

Короче говоря, вы не можете. Кроме того, вам не нужен фактический ответ, потому что ваше приложение затем должно будет узнать, какое сообщение протокола оно получает от вашего партнера (SAML 1.1, 2.0, WS-Fed, OIDC) и обрабатывать его правильно. Чтобы упростить жизнь разработчикам для интеграции своих приложений с PF, Ping предоставляет множество наборов интеграции для абстрагирования данных протокола из вашего приложения. PF обрабатывает сложность обмена сообщениями на основе стандартов, и вашему приложению требуется только расшифровать и вытащить аутентифицированную информацию пользователя (пары атрибут/значение) из OTK, которую вы в настоящее время используете в PF. Вы можете настроить адаптер SP в своем IDP-подключении, чтобы включить в него все виды идентификационной информации, которая включена в полученный SAMLResponse. Я бы назвал OpenToken Integration Kit отправной точкой.