現在、ADFSロールアウトの最初の段階にあります。同じパーティまたはSaaSアプリケーションを複数回フェデレーションする場合は、複数の「フェデレーションサービス」またはADFSのインスタンスをインストールする必要があるようです。使用するユーザー集団が異なるとします。アプリケーションのプライベートインスタンス、または複数のサンドボックス環境と実稼働環境があります。他の人はそれをどのように処理していますか?
ADFSのインスタンスを1つ作成したいとします。私のアカウントはすべて1つのドメインにあります。 AD環境は1つあります。ユーザーのさまざまなセットには、SaaSアプリケーションの独立した一意のインスタンスがあります。
saasprovider.com/groupaとsaasprovider.com/groupbは相互に排他的であるとしましょう。
何人かの人々が私にレルムとエティティIDについて言及しました...具体的にしてください。 2番目のRP信頼に同じメタデータドキュメントを提供することはできません。別のSTSまたはADFSインスタンスが必要ですよね?フェデレーションサービスのインストールごとに持つことができるertityIDは1つだけですよね?
IDデータベースごとに1つのSTS(Active Directoryフォレストごとに1つのADFS)とアプリケーション展開ごとに1つのRP(ADFSに証明書利用者としてロードされたFederationMetadata.xml
ドキュメント)が必要です。
たとえば、本番環境と開発環境は、同じADFSサーバー上の2つのRPにすることができます。フェデレーションメタデータは、インストールによって変更されます。
各クライアントアプリケーションは、インストールごとに異なるエンティティID(EntityDescriptor/@entityID
)を指定します。エンティティIDをアプリケーションインストールのルートと同じにするのが一般的です。したがって、http://server/dev/Default.aspx
でdevにアクセスしてhttp://server/prod/Default.aspx
でprodにアクセスする場合、エンティティはそれぞれhttp://server/dev/
とhttp://server/prod/
になる可能性があります。
実際の構成に関しては、パラメーターを手動で入力する場合、FederationMetadata.xml
ファイルは必要ありません。それ以外の場合は、 System.IdentityModel.Metadata
(。Net 4の場合)または Microsoft.IdentityModel.Protocols.WSFederation.Metadata
(<= .Net 3.5 onWIFの場合)を使用してオンデマンドでファイルを生成できます。 )。
それはすべて異なり、ADのインスタンスがいくつ必要ですか?
個別のドメイン内のADの各インスタンスには、ADFSの別のインスタンスが必要です。
エンティティID、レルムなどが異なる限り、同じRPを何度でも追加できます。
したがって、同じRPを多くの異なる環境にインストールでき、それらはすべてADFSの同じインスタンスを使用できます。