2010-06-16 22 views
5

Tengo un programa de terceros que admite SSO web con SAML 1.1 (en otras palabras, está listo para servir como Proveedor de servicios).SAML Identity Provider basado en Active Directory

Nos gustaría implementar este SSO para nuestros usuarios de intranet en función de sus credenciales de Active Directory. En otras palabras, ya iniciaron sesión en su sistema, así que simplemente usemos esas credenciales para facilitar un SSO. Sin embargo, estoy un poco abrumado por dónde comenzar.

Mi idea inicial es que IIS/Active Directory podría servir fácilmente como el proveedor de identidades ya que IIS nos brinda las capacidades de "Autenticación de Windows integrada". Creo que podríamos simplemente crear una aplicación web .NET que requiera Autenticación integrada que simplemente extraiga la ID de usuario actual, genere la respuesta de SAML y redireccione al usuario de vuelta al Proveedor de servicios con esta respuesta de SAML para completar el SSO.

Pero entonces, mi problema es que simplemente no tengo una idea real de cómo crear esta respuesta SAML, los certs X.509 implicados, etc ... Me pregunto si estoy pensando en esto. , o si la creación de esta respuesta SAML debería ser relativamente fácil.

Tenga en cuenta que SSO solo lo utilizarán los usuarios de la intranet, por lo que no tendrá que preocuparse por la federación con otras compañías/dominios.

Respuesta

1

No me molestaría en intentar construir algo que cumpla con SAML. Le tomará semanas utilizar un kit de herramientas y sus esfuerzos probablemente solo manejarán el caso de un solo uso. Una vez que tenga algo personalizado en su lugar, pronto se dará cuenta de que el resto de su organización también necesita algún tipo de integración SAML (ya sea interna o externamente).

La forma más rápida (y en mi humilde opinión) más fácil (y te verás como un héroe) es usar algo como PingFederate de www.pingidentity.com. Puedes tenerlo funcionando en menos de un día si sabes lo que estás haciendo.

Sólo mi $ 0,02

HTH - Ian

+0

Si bien Ping es el producto estándar de oro para esto, no es barato. ADFS y Azure ACS son buenas alternativas. –

4

Otra opción que es posible que desee estudiar es de Microsoft Active Directory Federation Server (AD FS) 2.0.

Cuestiones relacionadas