В настоящее время я нахожусь на первых этапах развертывания ADFS. Похоже, вам нужно установить несколько «служб федерации» или экземпляров ADFS, если вы хотите объединиться с одной стороной или приложением SaaS несколько раз. Допустим, у вас есть разные группы пользователей, которые используют частные экземпляры приложения, или у вас есть несколько сред песочницы и производственная среда. Как другие люди с этим справляются?
Допустим, я хотел бы иметь один экземпляр ADFS. Все мои учетные записи находятся в одном домене. Есть одна среда AD. Различные группы пользователей имеют независимые, уникальные экземпляры приложения SaaS.
Скажем saasprovider.com/groupa и saasprovider.com/groupb которые являются взаимоисключающими.
Несколько человек упомянули мне области и идентификаторы этити ... пожалуйста, будьте конкретны. Я не могу предоставить им тот же документ метаданных для второго доверительного отношения RP. Мне ведь нужен другой экземпляр STS или ADFS, верно? У вас может быть только один идентификатор ertity для каждой установки службы федерации, верно?
Все зависит от того, сколько экземпляров AD вам нужно?
Для каждого экземпляра AD в отдельном домене требуется другой экземпляр ADFS.
Вы можете добавлять один и тот же RP столько раз, сколько хотите, при условии, что идентификатор объекта, область и т. Д. Различны.
Таким образом, вы можете установить один и тот же RP во многих разных средах, и все они могут использовать один и тот же экземпляр ADFS.
У вас должна быть одна служба STS для каждой базы данных удостоверений (1 ADFS на лес Active Directory) и одна RP на развертывание приложения (FederationMetadata.xml документ загружен как проверяющая сторона в ADFS).
Например, производство и разработка могут быть двумя RP на одном сервере ADFS. Метаданные федерации должны измениться при установке.
Каждое клиентское приложение будет указывать свой идентификатор объекта (EntityDescriptor/@entityID) на каждую установку. Обычно идентификатор объекта совпадает с идентификатором корня установки приложения. Итак, если вы обращаетесь к разработчику по адресу http://server/dev/Default.aspx и подтолкнуть http://server/prod/Default.aspx, тогда ваши объекты могут быть http://server/dev/ и http://server/prod/ соответственно.
Что касается фактической конфигурации, вам не нужен FederationMetadata.xml файл, если вы вводите параметры вручную. В противном случае вы можете сгенерировать файл по запросу, используя System.IdentityModel.Metadata (для .Net 4) или Microsoft.IdentityModel.Protocols.WSFederation.Metadata (для <= .Net 3.5 на WIF).