4

希望这不是重复或过于宽泛。我只是觉得我需要比我能找到的任何其他信息更多的信息。

我有一个程序/服务器,它已经内置了一个正常运行的 SAML SP。我正在尝试将其连接到运行 Windows Server 的内部服务器上的测试 Shibboleth IdP (V3.3.3)。我已经安装并连接到我们的 Active Directory 用户。该文档非常适合达到这一点。

现在我不知道如何进行。我看到很多关于在 SP 和 IdP 之间交换配置/XML 信息和证书的信息。我相信我有一个有效的 SP XML 和证书可以提供给 IdP,但我不知道:

  1. 在 IdP 安装中将 SP XML 信息放在何处
  2. 在 IdP 安装中放置 SP 证书的位置(或设置/配置证书路径)
  3. 从哪里获得 IdP 证书(我认为默认设置会为我生成一些东西?不清楚)
  4. IdP 登录路径在哪里
  5. 我是否需要配置其他任何东西才能让两人交谈

1 到 4 可能是我似乎无法找到相关信息的最大困惑。Shibboleth 文档似乎假设我比我更熟悉配置 IdP。它告诉我在哪里可以配置任何东西/所有可能的东西,但我不知道应该配置什么。

无论如何,感谢您对此的任何帮助。我一直在浪费大量时间试图弄清楚这一点。

4

1 回答 1

2

为了回答您的五 (5) 个问题,不失一般性,我们假设

(一) SAML IdP的元数据文件为idpsaml-metadata.xml

(二) SAML SP的元数据文件为sp-example-org.xml

问答

  1. 在 IdP 安装中将 SP XML 信息放在何处

答案:/opt/shibboleth-idp/metadata/sp-example-org.xml

  1. 在 IdP 安装中放置 SP 证书的位置(或设置/配置证书路径)

答:SAML SP 的元数据文件由 SP 证书组成。SAML IdP 将从 SAML SP 的元数据(例如 sp-example-org.xml)中提取 SP 证书

  1. 从哪里获得 IdP 证书(我认为默认设置会为我生成一些东西?不清楚)

答:SAML IdP 的元数据文件包含所有 IdP 证书(由 SAML IdP 的默认设置生成)。

您需要将 SAML IdP 的元数据文件(例如 idpsaml-metadata.xml)放入 SAML SP 的主目录,例如 /etc/shibboleth/idpsaml-metadata.xml

  1. IdP 登录路径在哪里

答:通常 SAML SP 使用 HTTP-POST 端点作为 SAML IdP 登录路径,例如,

<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://IdP-Server-URL/idp/profile/SAML2/POST/SSO"/>

您还需要使用 LDAP 用户身份验证配置 Shibboleth IdP。

/opt/shibboleth-idp/conf/idp.properties

/opt/shibboleth-idp/conf/ldap.properties

/opt/shibboleth-idp/conf/attribute-filter.xml

/opt/shibboleth-idp/conf/attribute-resolver-full.xml

  1. 我是否需要配置其他任何东西才能让两人交谈

答:要让 SAML IdP 为 SAML SP 提供身份认证,SAML IdP 和 SAML SP 都需要交换它们的元数据。然后您需要使用 SAML SP 配置 SAML IdP。

SAML IdP /opt/shibboleth-idp/conf/metadata-providers.xml

/opt/shibboleth-idp/conf/relying-party.xml

SAML SP

/etc/shibboleth/shibboleth2.xml

/etc/shibboleth/attribute-map.xml

评论:

如何使用GitHub 存储库中的 Docker 容器构建和运行 Shibboleth SAML IdP 和 SP 提供了 Shibboleth IdP 和 SP 的示例配置文件。

于 2019-04-05T17:52:24.377 回答