标签: pingfederate

Ping Ping Federate从IdP流注销,从Ping Federate 文档开始

序列

1. 用户启动单个注销请求.该请求以PingFederate服务器的/idp/startSLO.ping端点为目标.

2. PingFederate发送注销请求并接收来自为当前SSO会话注册的所有SP的响应.

3. PingFederate将请求重定向到IdP Web应用程序的Logout Service,该服务在本地标识和删除用户的会话.

4. 应用程序Logout Service重定向回PingFederate以显示注销成功页面.

但是,我对应用程序Logout Service有一点问题 ,需要在IdP适配器配置中设置.

问题是我有动态注销URL,因此我无法在注销服务中使用它.

目前我正在尝试初始化IdP发起的SLO.TargetResource在SLO成功之后,我正在为此将用户重定向到IdP.

https://idp.pf.com:9031/idp/startSLO.ping?PartnerSpId=testSpId&TargetResource=http%3A%2F%2Fdynamicsubhost.baseurl.com%3A8080%2Fweb%2Fmy-bank%2Flogout

题 :

那么我怎样才能使PingFederate设置跳过Step 3,所以不是重定向到IdP Logout service它重定向到TargetResource.

我尝试过的:

我知道这听起来很俗气,但实际上我将IdP注销服务保持为空白.但显然它没有用.

PS尴尬的是,当我使用相同的PF服务器配置IdP和SP服务器时,它运行良好.但是,当我切换到单独的PF服务器实例来托管PingFederate服务器时,结果就出现了.

我正在尝试将Ping Federate集成为我的IdentityServer4实例的外部OIDC提供程序.当我启动外部登录流程时,我收到以下错误:

System.Exception: Correlation failed.
   at Microsoft.AspNetCore.Authentication.RemoteAuthenticationHandler`1.<HandleRequestAsync>d__12.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   at IdentityServer4.Hosting.FederatedSignOut.AuthenticationRequestHandlerWrapper.<HandleRequestAsync>d__6.MoveNext() in C:\local\identity\server4\IdentityServer4\src\IdentityServer4\Hosting\FederatedSignOut\AuthenticationRequestHandlerWrapper.cs:line 38
--- End of stack trace from previous location where exception was thrown ---
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   at System.Runtime.CompilerServices.TaskAwaiter`1.GetResult()
   at Microsoft.AspNetCore.Authentication.AuthenticationMiddleware.<Invoke>d__6.MoveNext()
--- End of stack trace from previous location where exception was thrown ---
   at System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
   at System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
   at Microsoft.AspNetCore.Cors.Infrastructure.CorsMiddleware.<Invoke>d__7.MoveNext()
--- End of stack trace from previous location …

PingFederate(版本7.1.3.1)上是否有任何端点,我们可以使用它来撤销OAuth访问令牌？

我正在使用 wsfederation（使用 pingfederate 作为 IDP）进行身份验证。这对于第一次获取访问令牌工作正常，但是当令牌过期时，我需要获取新令牌或刷新令牌。在 .NET 框架 4.7.2 中，它在我们使用WS2007FederationHttpBinding和WSTrustChannelFactory获取新令牌时工作正常。但是在 .NET CORE 中，我没有任何方法可以强制获取访问令牌。

有没有人知道如何通过从我的控制器调用 API 来获取新令牌？

鉴于：

• PingFederate是一种单点登录（SSO）解决方案，它允许1-n应用程序使用单个用户名和密码对用户进行身份验证。

高级问题：

• PingFederate的单次注销（SLO）功能如何工作？
• SLO通常如何工作？

鉴于：

• 要开始SLO流程，我们希望用户从浏览器（即https://[PingFederateInstance]/idp/startSLO.ping?PartnerSpId=[PartnerSpId]）请求SLO端点。
• 我们可以假设PingFederate实例将在成功调用SLO后发出重定向。

具体问题：

• 但是，如果您在多个浏览器窗口中有多个应用程序怎么办？
• 联合身份提供者如何通知多个应用程序终止其用户会话？

有意问这个问题的是如何在ASP.NET MVC应用程序即服务提供者中集成ping？我们有两个idps(身份提供商),我们必须实现服务提供商发起的SSO.

如果需要更多细节,请告诉我.

在我们开始研究如何将PingFederate集成到我们的基础架构之前的某个时间.

我们的初始用例如下:我们提供多租户访问我们的应用程序,不同的公司可能使用不同的(他们的)身份提供商来访问我们的应用程序.

现在流量仅限于此工作流程:多个 Idp(s)到一个SP

但是,未来的流程可能会扩展到多对多关系

目前我们使用NGINX作为反向代理,基于PingFed文档,我们现在很难理解部署选项.

基于本指南中的图表

这种集成对于apache httpd来说或多或少都很清楚.主要是apache PingFed Agent在apache上使用SSO流程,主要是验证"会话"或启动SSO流程.

    Processing Steps
1. A user attempts to access a resource on the Apache server protected by the PingFederate
Apache Agent.
2. The user is redirected to the PingFederate server for authentication.
(If an OpenToken session already exists, the user is granted immediate access.)
3. The PingFederate server redirects the user’s browser to an IdP for authentication using either the
SAML or WS-Federation protocols. The …

在PingFederate中,我知道我们可以将元数据导出为XML文件,但是有一个我可以调用来访问它的URL吗？

OpenAM和ADFS似乎具有这样的功能,例如

• HTTP ../ openam/SAML2/JSP/exportmetadata.jsp？ENTITYID = myEntity所
• HTTP ../ FederationMetadata/2007-06/FederationMetadata.xml

PingFederate是否提供此类功能？

我们决定使用Ping Federate作为我们的SSO解决方案.我搜索过很多例子,但是没有找到一个弹簧配置,清楚地描述了我需要在PingFederate端设置我的SP和/或IdP.我还没有找到一个Spring文档来描述我需要什么来实现它.

任何帮助,非常感谢.

我们有一个由 OIDC 保护的 API（实际上是几个微服务）。授权服务器由我们的客户（不是我们内部的）拥有和管理，并向我们的 SPA 提供身份令牌。然后，该 SPA 将该身份令牌传递到我们的后端服务器，后端服务器验证令牌，提取主题 ID（用户），然后在内部数据库中查找他们的角色。我们不使用令牌进行授权（意味着我们忽略声明），它仅用于身份验证。

我们有一个在安全环境中运行的后端 Windows 服务（因此它可以安全地存储机密），需要调用相同的 API。为了调用 API，它需要 OIDC 身份令牌来提供身份验证。安全地做到这一点的最佳方法是什么？

我们研究了这些选项：

1. 用户名/密码流 (OIDC) - 我们拒绝了它，因为它已被弃用。这使得它不是新代码的可靠选择，而且我们也不能确定我们的客户现在和将来是否允许使用它。
2. 客户端凭证流程 (OIDC) - 我们尝试过此操作...但它仅提供访问令牌，而没有身份令牌。我们的整个要求是一个身份令牌（因为我们使用它来查找系统中的角色）......所以这似乎不是一个选择。
3. 我看了这篇文章： https: //nordicapis.com/how-to-handle-batch-processing-with-oauth-2-0/，这很有趣。我可以设置一个仅限于一个流或另一个流的不会过期（或非常长）的身份令牌...但需要我托管和 OIDC 服务器或管理它们的服务器。我们的客户不会授予访问权限。
4. Martin Fowler 写了一篇关于为此目的使用刷新令牌的文章： https: //martinfowler.com/articles/command-line-google.html 这有两个问题：它是用于 Auth 而不是 OIDC...所以它不处理带有身份令牌。应该可以，但很好奇是否已经完成。另外，就我而言，刷新令牌过期时没有人刷新...我需要一些不会过期或可以由后端服务自动刷新的东西。

最好的选择是什么？