SAML2.0配置

Question

我对SAML完全陌生。我想为我的ASP.NET网站实现单点登录。我从我的客户那里得到了SAML声明。我想知道从我的客户那里获得它所需要的所有其他需求，以及我需要在我的终端实现什么设置。

有人能帮我解决这个问题吗。

提前谢谢。

Answer 1

您可以使用类似ADFS的内容来接受SAML断言。ADFS安装在Windows 2008或2012上。

你得问问你的客户

• 签名证书公钥和
• URL中的标志。

然后在ADFS中创建一个“索赔提供者信任”，并输入这些详细信息。然后是代表您的应用程序的“依赖方信任”。最后，您必须使用WIF使用ADFS配置应用程序。这篇博客文章有更多的细节：

http://thedotnethub.blogspot.com.ar/2012/12/adfs-20-by-example-part1-adfs-as-ip-sts.html

此外，您也可以使用Auth0完成同样的任务，而无需在您的身边设置任何软件(免责声明:我在那里工作)。

Answer 2

我要做的第一件事是避免自己编写SAML代码。外面有很多。@Woloski (上图)有一些。我的公司有一些(我为制造PingFederate的公司工作)。还有一些开源的东西。我看到了KentorIT authServices的良好关系。如果这是您对SAML的第一次尝试，那么我打赌ADFS太过分了。老实说，我们在平最常见到的团体是当他们决定“全神贯注”的时候。第一个或两个连接很容易。从此以后，它很快就成了管理的噩梦。我之所以说要避免写自己的东西，是因为SAML有很多细微差别，有着巨大的缺陷，而且头痛是你根本不需要的。

作为服务提供者(SP)，您需要告诉客户端(身份提供者或IdP)您需要从它们那里获得哪些“属性”，以便正确地将用户连接到应用程序中的帐户(可能是用户名？)。此外，你可以要求额外的属性，以确保他们的个人资料是最新的-电话号码，电子邮件等。这取决于你们两个决定你需要什么(和他们会给你什么)。显然，如果你不需要的话，他们不应该发送社会保险号码。

您还需要决定是否要执行SP启动的单点登录(用户会在应用程序的深处获得指向文档的链接吗？)，或者仅仅是IdP启动(还是总是会直接来到前门？)就够了。那么单点登录呢？你(或他们)想这么做吗？就我个人而言，我建议不要，但那是另外一个话题

签个字怎么样？你的证书还是他们的？如果您正在使用SP-init，您需要使用他们的证书还是您的证书来签署AuthnRequest？您需要对断言进行加密，还是只需要几个属性？

通常，所有这些都是通过“元数据交换”来完成的。你给他们你的元数据，上面写着“这就是我们需要的”。他们导入元数据来构建新的连接，通过调用LDAP或其他用户存储库来满足应用程序所需的属性，以及进行身份验证(如果需要)。它们完成它们的连接，并导出它们的元数据，您可以导入这些元数据来构建连接(从而确保大家都同意证书)。你把它挂到你的应用程序上，然后你就走了。

我让这听起来很简单。是的，但事实并非如此。滚动你自己的东西可能意味着问题。他们很多。有些人是如此的微小以至于要花几个小时(甚至几天)才能看到它。当它起作用的时候，它就起作用了，而且很好。

HTH --安迪