Несколько экземпляров ADFS необходимы при объединении в федерацию той же стороне многократно?
От этой действительно запутывающей веб-страницы Juniper:
Host Checker is still not supported for Linux nclauncher (ncsvc) in any version at this time.
инструкции там, кажется, указывают, что администратор на устройстве Juniper должен настроить отдельную область аутентификации с выключенным Средством проверки Хоста.
Это - просто мое абсолютно наивное чтение той страницы, я ничего не знаю о Juniper VPNs.
У вас должна быть одна служба STS на каждую базу данных удостоверений (1 ADFS на лес Active Directory) и один RP на развертывание приложения (документ FederationMetadata.xml , загруженный в качестве проверяющей стороны в ADFS
Например, производство и разработка могут быть двумя RP на одном сервере ADFS. Метаданные федерации должны измениться при установке.
Каждое клиентское приложение будет указывать другой идентификатор объекта ( EntityDescriptor / @ entityID ) для каждой установки. Обычно идентификатор объекта совпадает с идентификатором корня установки приложения. Поэтому, если вы обращаетесь к dev по адресу http: //server/dev/Default.aspx и к продукту по адресу http: //server/prod/Default.aspx , тогда ваши объекты могут быть http: // server / dev / и http: // server / prod / соответственно.
Что касается фактической конфигурации, вам не нужен файл FederationMetadata.xml , если вы вводите параметры вручную. В противном случае вы можете сгенерировать файл по запросу, используя System.IdentityModel.Metadata (для .Net 4) или Microsoft.IdentityModel.Protocols.WSFederation.Metadata (для <= .Net 3.5 на WIF).
Все зависит от того, сколько экземпляров AD вам нужно?
Для каждого экземпляра AD в отдельном домене требуется другой экземпляр ADFS.
Вы можете добавить столько же RP, сколько и больше сколько угодно раз при условии, что идентификатор объекта, область и т. д. различны.
Таким образом, вы можете установить один и тот же RP во многих различных средах, и все они могут использовать один и тот же экземпляр ADFS.