Поставщик услуг Fedlet и CA Siteminder Identity Provider

Question

Кто-нибудь использовал Fedlet в качестве своего поставщика услуг и CA Siteminder в качестве поставщика удостоверений? Наш клиент использует службы безопасности CA Siteminder Federation Security, и нам нужно настроить наш конец как поставщика услуг, который может принимать утверждения SAMLv2 с отображением атрибутов. Возможно ли с помощью этой настройки IDP-инициализированный SSO?

Я был в состоянии заставить Fedlet работать с поставщиком идентификации OpenSSO, но не с CA Siteminder. Клиент только дал idp и sp ID для использования, их метаданные, протокол и стандарт привязки и ничего больше. Я дал им наш URL-адрес потребительского сервиса Assertion (я получил из sp.xml в нашем Fedlet conf) и URL-адрес состояния реле, где мы перенаправим пользователя после успешного входа на их сторону.

Или вы рекомендуете использовать другую технологию для использования в качестве поставщика услуг для CA ID-сервера CA?

Просьба сообщить.

Answer 1

Fedlet - довольно голые кости и был разработан Sun (теперь Oracle) для работы с OpenSSO в качестве IDP. Хотя это, вероятно, в некоторой степени совместимо, я бы предположил, что это может быть не полная реализация SAML 2.0 SP-Lite, а подмножество этого.

Я проверил PingFederate от PingIdentity, если вы ищете более надежный вариант. У нас есть десятки SP, которые интегрируются с CA SM FSS в качестве IDP (и наоборот) с использованием SAML 1.x и 2.0. Он имеет очень легкий след, может поддерживать множество языков/платформ разработки и может быть настроен и в производстве очень быстро.

НТН - IanB

Answer 2

Если у вас уже есть установка установки SiteMinder затем SMFSS является самым быстрым, простым и наиболее надежным решением, имхо, но потом я поддерживаю его. Я могу завести новых клиентов и работать менее чем за день для SAML 2.0 POC, когда у них уже есть действующая архитектура SiteMinder, и нет никаких известных проблем с OpenSSO. Если у вас есть конкретная проблема, вы должны дать трассировку скрипача с включенным дешифрованием HTTPS и журналами, чтобы мы могли помочь. Кроме того, в документах R12 SP3 или SM6 SMFSS есть глава о том, какие параметры должны соответствовать, настройка разделов IDP и SP для SAML 2.0, которые шаг за шагом, если у вас есть параметры для главы соответствия значений, которая является от второй до последней главы и номера раздела изменяется в зависимости от версии документов.

Вы также можете сделать авторизацию на стороне SP с помощью Атрибута, который мы предоставляем, если ваш SP реализует спецификацию SAML запроса атрибута. Другими словами, если бы не было полномочий атрибута, вам нужно будет хранить атрибуты на стороне SP для использования позже. С учетом сказанного, если вы использовали SPFSMS (SiteMinder Federation Security Services) SP, вы можете использовать хранилище сеансов на стороне SP и хранить атрибуты утверждений там во время аутентификации. Дайте мне знать, если у вас есть еще вопросы по этому поводу. То, что мне нравится в SMFSS, - это то, что вы действительно хорошо понимаете, что вы делаете, и можете стать достаточно опытным, когда многие другие продукты, похоже, используют много метаданных, чтобы добавить материал в свой интерфейс, который ИМХО приводит к тому, что люди не понимают федерации, которую они создают и администрируют.

Мне интересно, является ли IanB моим старым сотрудником Яном Барнеттом из Ping? Если так привет!

Крисси Крюгер камень
SiteMinder Поддержка оцен. 5/1/2000