Поддерживает ли Azure ACS поставщиков удостоверений saml 2.0, таких как Salesforce?

У меня не установлена ​​служба управления доступом (ACS), но я видел в демонстрационном онлайн-видео, что Salesforce отсутствует в списке доступных предустановленных поставщиков удостоверений. Salesforce можно настроить как IdP (используется стандартный SAML 2.0). Можно ли настроить ACS, чтобы использовать Salesforce в качестве поставщика удостоверений? Спасибо


azure salesforce single-sign-on saml-2.0 acs
person YMC    schedule 10.01.2012    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Я лично не использовал поставщика токенов SAML 2.0, но в его официальном описании говорится, что ACS поддерживает токены SAML 2.0. Список поддерживаемых протоколов: OAuth 2.0, WS-Trust и WS-Federation (согласно официальное заявление).

Кроме того, в настоящее время не существует автоматизированного (с пользовательским интерфейсом) способа добавления поставщиков удостоверений, которые не входят в число предопределенных в ACS. Однако вы можете использовать cmdLet ACS, чтобы вручную добавить IP-адреса с поддерживаемым протоколом. Вот блог Vittorio, в котором показано, как добавить провайдера openID.

Если вы можете настроить SalesFores как IdP с использованием токенов SAML 2.0, вам просто нужно определить протокол — OAuth, WS-Trust или WS-Federation, и выполнить команду PowerShell, которая будет выглядеть примерно так:

PS:\>Add-IdentityProvider –Namespace "myacsnamespace" –ManagementKey "XXXXXXXX" -Type "Manual" -Name "SalesForce" -Protocol OAuth –SignInAddress "http://www.your_salesforce_site.com/sign-in-url"

Список поддерживаемых протоколов для этой команды: WsFederation, OAuth, OpenId, WsTrust. Таким образом, конфигурация SalesForce IdP должна использовать некоторые из этих протоколов с токенами SAML 2.0, и она должна работать. Я думаю, что это OAuth, как в этой вики.

Надеюсь это поможет!

person astaykov    schedule 11.01.2012
comment
Обратите внимание, что в целом все эти протоколы имеют разное назначение. Они не взаимозаменяемы. например: WS-Trust для веб-служб SOAP, WS-Federation для веб-сайтов. Даже если они повторно используют формат токена. - person Eugenio Pace; 11.01.2012
comment
Я запутался. Насколько я знаю, стандарт SAML 2.0 касается не только формата токена, но и протокола, он описывает правила связи так же, как это делают WS-Federation, OAuth и OpenId, так что он самодостаточен. Я думаю, что Salesforce в качестве IdP использует только SAML 2.0, по крайней мере, об этих протоколах ничего нет на Salesforce.com: login.salesforce.com/help/doc/en/identity_provider_about.htm. Там просто написано, что он поддерживает SAML 2.0. Означает ли это, что я не могу использовать Salesforce в ACS? - person YMC; 12.01.2012
comment
Я действительно хочу увидеть здесь вклад кого-то из команды Microsoft Identity. @YMC, вы проверяли эту вики: wiki.developerforce.com/page/, которая описывает, что они объединяют SAML и OAuth, что может быть решением для ACS. - person astaykov; 12.01.2012
comment
Я ознакомился с ней, статья интересная, но она не гарантирует мне, что я смогу достичь желаемого результата, потратив пару дней или около того на изучение возможностей ACS. Я надеялся, что есть простой способ добавить любой произвольный saml 2.0 IdP в ACS, похоже, его нет. Хорошо, в любом случае это результат и полезно знать. Спасибо за информацию, +1 - person YMC; 12.01.2012
comment
@YMC у тебя когда-нибудь это работало? Мне также нужно интегрировать IdP SAML2.0 с ACS, и я ищу способ. В моем случае это OpenAM IdP. - person Roy; 19.10.2012
comment
Я попробовал это сделать не с помощью командлетов, а с помощью классов ManagementServiceWrapper, определенных в коде, сопровождающем это руководство от Microsoft msdn.microsoft.com/en-us/library/ff423674.aspx. Я получил сообщение об ошибке: «Значение, указанное для поля IdentityProvider_ProtocolType, недопустимо». для OAuth. Похоже, вы действительно можете использовать ACS только с ADFS или Facebook и т. д. для IdP и специальных приложений для RP. - person Polly Shaw; 30.01.2013
comment
Для всех проголосовавших против: Если вы считаете, что что-то не так, вы можете опубликовать новый ответ или комментарий! И обратите внимание на время и дату ответа на вопрос! - person astaykov; 23.05.2013
comment
На дворе 2016 год... и у меня все тот же вопрос... Кто-нибудь пробовал и у него получилось? - person Wali; 13.06.2016
comment
@Wali, как вы заметили, это 2016 год, и поэтому ACS находится в режиме ожидания, есть Azure AD, который имеет прямую и полную интеграцию с SalesForce и более чем 2000 других облачных приложений SaaS. С другой стороны, есть предварительная версия Azure AD B2C, которая обрабатывает роли, которые играла служба ACS. Для обеих услуг вы можете использовать свою любимую поисковую систему, чтобы узнать больше. - person astaykov; 15.06.2016