基于Active Directory的SAML身份提供程序

我们希望根据其Active Directory凭据为我们的Intranet用户实施此SSO.换句话说,他们已经登录到他们的系统,所以让我们简单地使用这些凭证来促进SSO.不过,我对从哪里开始有点不知所措.

我最初的想法是,IIS / Active Directory可以轻松地充当身份提供者,因为IIS为我们提供了“集成Windows身份验证”功能.我认为我们可以创建一个需要集成身份验证的.NET Web应用程序,它只需提取当前用户ID,构建SAML响应,然后使用此SAML响应将用户重新定向回服务提供者以完成SSO.

但是,我的问题是,我根本不知道如何创建这个SAML响应,涉及的X.509证书等等……我想知道我是否在这方面,或者如果创建这个SAML响应应该相对容易.

请注意,此SSO仅供Intranet用户使用,因此无需担心与其他公司/域联合.