PingFederate和NGinx集成和部署选项
在我们开始研究如何将PingFederate集成到我们的基础设施之前的一段时间。
我们最初的用例如下:我们提供对应用程序的多租户访问,不同的公司可能使用不同的身份提供者来访问我们的应用程序。
现在,流仅限于以下工作流:多个国内流离失所者对一个SP
但是,在未来,流可能扩展到多对多关系
目前,我们正在使用NGINX作为反向代理,并且基于PingFed文档,很难理解我们现在拥有的部署选项。
基于从这个指南获取的图表
对于apache来说,这种集成是如何工作的,这一点或多或少是很清楚的。主要有apache,它使用PingFed上的SSO流,主要是验证“会话”或启动SSO流。
Processing Steps
1. A user attempts to access a resource on the Apache server protected by the PingFederate
Apache Agent.
2. The user is redirected to the PingFederate server for authentication.
(If an OpenToken session already exists, the user is granted immediate access.)
3. The PingFederate server redirects the user’s browser to an IdP for authentication using either the
SAML or WS-Federation protocols. The IdP partner authenticates the user and returns a SAML
assertion.
4. PingFederate validates the assertion and creates an OpenToken for the user including any
configured attributes. PingFederate then redirects the browser, including the OpenToken, back to
the Apache Agent.
5. The Agent verifies the OpenToken and grants access to the protected resource. The User ID and
any attributes from the OpenToken are exposed to the resource as HTTP Request Headers or Apache Environment Variables.主要是在步骤5中,apache代理使用请求头或变量将有关用户的信息传递给实际应用程序。
基于上述所有信息,这里有两个问题:
- 如何对PingFed和NGINX进行类似的部署(用于apache在本问题中描述的选项)?
- 是否需要与PingFederate一起使用Web (反向代理)。或者平联邦成员也可以充当WebServer?如果是的话,请提供一些链接和更多的解释。
回答 3
Stack Overflow用户
发布于 2016-08-26 18:06:10
- 没有支持nginx的Ping身份的PingFederate代理体系结构。我建议您查看“无代理适配器”(也称为参考适配器)并构建自己的适配器。
- 不需要在PingFederate中使用反向代理。PingFederate使用Jetty作为它的web容器,并且完全能够为流量服务。我们为反向代理提供选项,以便支持那些需要直接向应用程序服务器打开端口的组织。
Stack Overflow用户
发布于 2016-09-15 10:28:40
发表关于解决方案和我们的观察的最终想法是值得的。
- 当我们尝试集成PingFed时,我们了解到pingFed与Ping Access是非常本机集成的。而Ping Access则充当反向代理。
提出了PingAccess与PingFed之间的身份认证采用OpenId连接协议的基本思想。PingFederate和Auth提供者之间的身份验证可以通过非常不同的方式完成:
- 可能是SAML
- 它可以是另一个SSO工具
- Ping Fed还可以使用一些自定义DB或LDAP提供登录页面和身份验证。
但是,应用程序的身份验证流程将保持不变,因为PingFed隐藏了这种复杂性。
Stack Overflow用户
发布于 2017-11-10 02:03:30
PingIdentity已经发布了NGINX认证的NGINX服务器PingAccess代理。此PingAccess代理可以作为PEP部署在NGINX服务器上,从而消除了代理服务器的需求。
https://stackoverflow.com/questions/39169345
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号