Pingfederate kerberos 身份验证是对来自任何域的任何用户进行身份验证
Pingfederate kerberos authentication is authenticating any user from any domain
我正在尝试将 SAML SSO 配置为 OpenAM 作为 SP,将 PingFederate 配置为 IDP,使用 SP 启动的 SSO 并使用 Redirect-Post 绑定。我正在使用 kerberos 适配器来实现 SSO。
我已将 Kerberos 适配器配置为使用 "e-glue.com" 域并在配置中提供了 KDC 详细信息。我还在域控制器中正确添加了 "setspn" 的 Pingfederate 服务器。
但是,当我使用有效 "e-glue.com" 用户登录计算机并使用“https://hostname.e-glue.com:1912/openam/saml2/jsp/spSSOInit.jsp?idpEntityID=ent-026330&metaAlias=/sp”点击 SSO url 时,它会将我重定向到 IDP,并且 SSO 成功并在 openam 中创建用户。
但是如果我对其他域做同样的事情.. 这不是 "e-glue.com",它仍然会验证用户并且用户是在 openam 中创建的。
这太奇怪了,尽管我们将 kerberos 适配器配置为使用 e-glue.com KDC,但不属于 e-glue 域的用户正在接受身份验证,因此缺少了一些东西。我错过了一些东西,不确定是什么。
如果您有任何关于问题的信息,请分享。
这是因为域间信任关系。
PingFederate (IDP) 配置为通过 "e-glue.com" 域对用户进行身份验证。
所以我登录了域 "someother.domain" 中的计算机。
但是这个 "someother.domain" 实现了一个 Active Directory 目录服务林并且在 "e-glue.com" 和它自己之间有信任关系。因此,由于信任关系,所有登录到 IDP 的用户也是 VALID 用户。
我花了一些时间才明白这一点。
我正在尝试将 SAML SSO 配置为 OpenAM 作为 SP,将 PingFederate 配置为 IDP,使用 SP 启动的 SSO 并使用 Redirect-Post 绑定。我正在使用 kerberos 适配器来实现 SSO。
我已将 Kerberos 适配器配置为使用 "e-glue.com" 域并在配置中提供了 KDC 详细信息。我还在域控制器中正确添加了 "setspn" 的 Pingfederate 服务器。 但是,当我使用有效 "e-glue.com" 用户登录计算机并使用“https://hostname.e-glue.com:1912/openam/saml2/jsp/spSSOInit.jsp?idpEntityID=ent-026330&metaAlias=/sp”点击 SSO url 时,它会将我重定向到 IDP,并且 SSO 成功并在 openam 中创建用户。 但是如果我对其他域做同样的事情.. 这不是 "e-glue.com",它仍然会验证用户并且用户是在 openam 中创建的。
这太奇怪了,尽管我们将 kerberos 适配器配置为使用 e-glue.com KDC,但不属于 e-glue 域的用户正在接受身份验证,因此缺少了一些东西。我错过了一些东西,不确定是什么。 如果您有任何关于问题的信息,请分享。
这是因为域间信任关系。
PingFederate (IDP) 配置为通过 "e-glue.com" 域对用户进行身份验证。
所以我登录了域 "someother.domain" 中的计算机。 但是这个 "someother.domain" 实现了一个 Active Directory 目录服务林并且在 "e-glue.com" 和它自己之间有信任关系。因此,由于信任关系,所有登录到 IDP 的用户也是 VALID 用户。 我花了一些时间才明白这一点。