为什么 PingFederate IdP 连接需要 SP 适配器?
Why does a PingFederate IdP connection require a SP adapter?
我已阅读 PingFederate 文档,它说:
An SP adapter is used to create a local-application session for a user
in order for PingFederate® to provide SSO access to your applications
or other protected resources. You must configure at least one instance
of an SP adapter in order to set up connections to IdP partners. You
can also configure multiple instances of adapters (based on one or
more adapters) to accommodate the varying needs of your IdP partners.
但我不明白为什么 IdP 连接需要 SP 适配器?为什么需要它,它到底有什么作用?
在我的用例中,我使用 PingFederate 作为 OAuth 服务器,并通过 SP 发起的 SSO 向外部 IDP 验证用户身份,然后在连接的 OAuth 属性映射中,我将断言属性直接映射到持久授权中。为什么这还不够,我不明白需要 SP 适配器?如何以及谁打算更多地引用适配器而不是 IdP 连接本身?
您完全正确,在某些情况下(例如您的情况)不需要 SP 适配器。
在您的 IdP 连接下,浏览器 SSO > 用户会话创建 > 身份映射 有一个选项 "No Mapping" 可以避免必须映射到 SP适配器。有关详细信息,请参阅:https://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId=uql1564003010611.html
"No Mapping" 选项是在 PingFederate 8.1 中引入的,因此如果您使用的是较早的版本,它可能不可用。在那种情况下,应该将 "dummy" SP 适配器映射到您的连接中(即使它可能未被使用)。
我已阅读 PingFederate 文档,它说:
An SP adapter is used to create a local-application session for a user in order for PingFederate® to provide SSO access to your applications or other protected resources. You must configure at least one instance of an SP adapter in order to set up connections to IdP partners. You can also configure multiple instances of adapters (based on one or more adapters) to accommodate the varying needs of your IdP partners.
但我不明白为什么 IdP 连接需要 SP 适配器?为什么需要它,它到底有什么作用?
在我的用例中,我使用 PingFederate 作为 OAuth 服务器,并通过 SP 发起的 SSO 向外部 IDP 验证用户身份,然后在连接的 OAuth 属性映射中,我将断言属性直接映射到持久授权中。为什么这还不够,我不明白需要 SP 适配器?如何以及谁打算更多地引用适配器而不是 IdP 连接本身?
您完全正确,在某些情况下(例如您的情况)不需要 SP 适配器。
在您的 IdP 连接下,浏览器 SSO > 用户会话创建 > 身份映射 有一个选项 "No Mapping" 可以避免必须映射到 SP适配器。有关详细信息,请参阅:https://support.pingidentity.com/s/document-item?bundleId=pingfederate-93&topicId=uql1564003010611.html
"No Mapping" 选项是在 PingFederate 8.1 中引入的,因此如果您使用的是较早的版本,它可能不可用。在那种情况下,应该将 "dummy" SP 适配器映射到您的连接中(即使它可能未被使用)。