web-dev-qa-db-ja.com

同じパーティに複数回フェデレーションする場合、複数のADFSインスタンスが必要ですか?

現在、ADFSロールアウトの最初の段階にあります。同じパーティまたはSaaSアプリケーションを複数回フェデレーションする場合は、複数の「フェデレーションサービス」またはADFSのインスタンスをインストールする必要があるようです。使用するユーザー集団が異なるとします。アプリケーションのプライベートインスタンス、または複数のサンドボックス環境と実稼働環境があります。他の人はそれをどのように処理していますか?

ADFSのインスタンスを1つ作成したいとします。私のアカウントはすべて1つのドメインにあります。 AD環境は1つあります。ユーザーのさまざまなセットには、SaaSアプリケーションの独立した一意のインスタンスがあります。

saasprovider.com/groupasaasprovider.com/groupbは相互に排他的であるとしましょう。

何人かの人々が私にレルムとエティティIDについて言及しました...具体的にしてください。 2番目のRP信頼に同じメタデータドキュメントを提供することはできません。別のSTSまたはADFSインスタンスが必要ですよね?フェデレーションサービスのインストールごとに持つことができるertityIDは1つだけですよね?

1
Joshua Toon

IDデータベースごとに1つのSTS(Active Directoryフォレストごとに1つのADFS)とアプリケーション展開ごとに1つのRP(ADFSに証明書利用者としてロードされたFederationMetadata.xmlドキュメント)が必要です。

たとえば、本番環境と開発環境は、同じADFSサーバー上の2つのRPにすることができます。フェデレーションメタデータは、インストールによって変更されます。

各クライアントアプリケーションは、インストールごとに異なるエンティティID(EntityDescriptor/@entityID)を指定します。エンティティIDをアプリケーションインストールのルートと同じにするのが一般的です。したがって、http://server/dev/Default.aspxでdevにアクセスしてhttp://server/prod/Default.aspxでprodにアクセスする場合、エンティティはそれぞれhttp://server/dev/http://server/prod/になる可能性があります。

実際の構成に関しては、パラメーターを手動で入力する場合、FederationMetadata.xmlファイルは必要ありません。それ以外の場合は、 System.IdentityModel.Metadata (。Net 4の場合)または Microsoft.IdentityModel.Protocols.WSFederation.Metadata (<= .Net 3.5 onWIFの場合)を使用してオンデマンドでファイルを生成できます。 )。

1
Mitch

それはすべて異なり、ADのインスタンスがいくつ必要ですか?

個別のドメイン内のADの各インスタンスには、ADFSの別のインスタンスが必要です。

エンティティID、レルムなどが異なる限り、同じRPを何度でも追加できます。

したがって、同じRPを多くの異なる環境にインストールでき、それらはすべてADFSの同じインスタンスを使用できます。

1
nzpcmad