2

我正在做一个 POC,我需要将 Shibboleth SP 与 OKTA idp 提供程序集成。我已经完成了 OKTA 官方网站上记录的所有以下步骤以进行此集成。

  1. 安装 Shibboleth 服务提供者 2.配置网络服务器以使用 Shibboleth 3.配置 Shibboleth 以保护特定文件夹 创建 Okta SAML 2.0 模板应用程序 4.修改 Shibboleth 以使用从 Okta 应用程序获得的元数据 5.修改属性-map.xml Shibboleth 中的文件以设置适当的标头变量 6.重新启动一切

但是第 5 步中缺少一些细节,我需要修改 atrtribute-map.xml。当我触发受保护的 URI(托管在 apache 上)时,它会被重定向到 OKTA 登录页面。但是在用户输入用户 ID 和密码并单击登录后,我的浏览器上出现了一个微调器,它永远不会将我带到托管在 Apache 上的受保护站点 URI。高度赞赏在 Shibboleth SP 中修复此属性映射的任何线索。

4

2 回答 2

0

如果页面没有被重定向到 SP,他的问题不一定是 attributes-map.xml

  • 端点可能配置不正确。检查 {web app uri}/Shibboleth.sso/Metadata 以查看是否正确定义了端点 URL。
  • 如果 entityID 定义正确,请检查 Shibboleth2.xml,这是 Shibboleth 正在保护的 Web 应用程序。
  • 检查 {web app uri}/Shibboleth.sso/Session 这将显示是否所有属性都是从 Okta 发送的。您也可以通过更改 Shibboleth2.xml 使其显示值,因为它只是 POC。
  • 最后是 attributes-map.xml,您可以在其中配置与 Okta 约定的属性。此处预配置了一些默认属性,例如 NameID。您可以在 attribute-map.xml 和 /Shibboleth.sso/Session 中查看格式以及相应使用的代码。例如 formatter="$NameQualifier!$SPNameQualifier!$Name"

如果您要添加自定义属性,只要名称与 Okta 发送的属性名称匹配,如下所示的简单元素应该可以工作。

于 2015-10-16T18:39:24.413 回答
0

通过在 OKTA 端进行正确配置解决了这个问题。OKTA 提供了 sam2.0 模板应用程序用于与 shibboleth 集成。下面提到的此模板应用程序的参数已正确配置。

  • 回发网址 -
  • 名称 ID 格式 - 瞬态
  • 接受者 -
  • 观众限制 -
  • authnContextClassRef - PasswordProtectedTransport
  • 响应 - 签名
  • 断言 - 签名
  • 请求 - 压缩
  • 目的地 -
  • 属性语句 - 用户名|${user.userName}

然后我们的整合就成功了

于 2015-12-04T10:04:18.010 回答