Поставщик Идентификационных данных SAML на основе Active Directory

У меня есть сторонняя программа, которая поддерживает веб-SSO использование SAML 1.1 (это готово служить Поставщиком услуг, другими словами).

Мы хотели бы реализовать этот SSO для наших пользователей интранет на основе их учетных данных Active Directory. Другими словами, они уже вошли в свою систему, поэтому давайте просто использовать те учетные данные для упрощения SSO. Я немного поражен в том, где начать, все же.

Моя начальная буква думала, то, что IIS / Active Directory мог легко служить Поставщиком Идентификационных данных, так как IIS дает нам "Интегрированную аутентификацию Windows" способности. Я думал бы, что мы могли просто создать веб-приложение.NET, которое требует Интегрированной Аутентификации, которая просто извлекает текущий идентификатор пользователя, создает ответ SAML и перенаправляет пользователя назад Поставщику услуг с этим ответом SAML для завершения SSO.

Но затем, моя проблема состоит в том, что у меня просто нет реальной идеи того, как пойти о создании этого ответа SAML, сертификаты X.509 включили и т.д... Я задаюсь вопросом, нахожусь ли я в по моей голове на этом, или если создание этого ответа SAML должно быть относительно легким.

Обратите внимание, что этот SSO должен использоваться пользователями интранет только, таким образом, никакая потребность волноваться об объединении в федерацию с другими компаниями / домены.