CloudFoundry UAA 的链接联邦

Chaining federation of CloudFoundry UAA

我有两个 CloudFoundry UAA 实例,它们配置了 SAML 和 LDAP 身份提供商。消费者可以使用 authorization_codeclient_credentials 授权进行身份验证并接收 JWT。

现在,我需要创建另一个联合或链接到这两个 UAA 的 UAA 实例。原因是我可以使用我的资源服务器的单一联系点来对两个链接的 UAA 实例进行身份验证。它还使我能够更好地控制我的 UAA 实例,因为这两个子实例通常由其他方拥有。

我正在寻找的最终结果是我应该能够使用父 UAA 的身份验证端点对子 UAA 中的 SAML/LDAP IDP 进行身份验证。有什么办法可以实现这个联邦吗?

是的,您可以通过将子 UAA 与父 UAA 联合来实现此目的 UAA 既是 OpenID Connect IDP 又是依赖方。通过这样做,您将把子 IDP 作为外部 IDP 添加到父 UAA,并且两个子 IDP 都将信任父 UAA 作为依赖方

请参阅此处的文档,了解如何通过 API 添加外部 IDP:http://docs.cloudfoundry.org/api/uaa/#oauth-oidc