问题标签 [shibboleth-sp]

我正在使用 Shibboleth SP 进行 SAML 授权。

最近 IdP 更改了配置，现在需要对 AuthRequest 进行签名。

IdP 的元数据具有以下参数

SP 的 shibboleth2.xml 文件有以下标签

在 IdP 强制执行 AuthRequest 签名后，我们将 shibboleth2.xml 文件更改为如下

基本上，我添加了signing="true"and encryption="true"。

之后生成的新元数据在标签中具有以下属性

较早AuthnRequestsSigned="1"的属性不存在。

在此之后，当我尝试进行身份验证时，它给了我们以下错误，

问题 1：我需要向 IdP 提供此新元数据吗？问题2：知道为什么会这样吗？问题 3：我需要更改配置中的其他任何内容吗？

PS 在执行 AuthRequest 签名之前，它正在工作，所以我认为配置中没有任何其他问题。

这是示例 AuthRequest

我相信签名信息应该作为请求的一部分出现在这里。作为http请求，它作为GET请求，对吗？当我在网络中看到请求时，我可以看到签名作为查询参数 请求的状态代码是“200”

对于这个用例，我有一个奇怪的行为：WSO2 IS 有一个租户（租户 A），并且在租户中添加了一个 Shibboleth 服务提供商（未选择 SaaS，因此 SP 应该只对租户可见）。Shibboleth SP 具有 wso2 IDP 的元数据，并且证书已就位且正确。配置是通过碳控制台完成的。导航受 Shibboleth SP 保护的 URL 我得到了奇怪的行为：

我被重定向到tenantDomain=carbon.super 并且（正确地）wso2 日志告诉我我的SP 没有注册。

TLDR：我找不到在 Shibboleth SP 和 WSO2 IS 之间的 SP 发起的 SSO 中通知租户域的方法。这种行为是有意的吗？谢谢

这里 wso2 是常驻 IDP 元数据。这是使用 wso2 控制台中的“下载元数据”按钮生成的。然后将其复制到 Shibboleth SP 中。

我在一台服务器上使用 shibboleth SP 3 和 IIS 8。我保护了一个“安全”文件夹并重定向到一个测试 ADFS，在那里我配置了从 AD 中提取 UPN。

我的 attribute-map.xml 看起来像这样：

一切正常。我检查了 http 标头和服务器变量，所有自定义 shibboleth 标头都在那里，并且对应的服务器变量带有前缀 HTTP_

我将其部署在测试服务器上，即带有 IIS 8 的 Windows Server 2012。我的问题是，我仍然有服务器变量，但没有 HTTP_ 前缀，并且我不再有 HTTP 标头，而我的应用程序依赖他们。

配置文件几乎相同。我已经在 Shibboleth SP wiki 中进行了挖掘，这是一本谋杀案，我找不到可以微调如何在 HTTP 标头或服务器变量中添加属性的地方。

你有什么线索吗？

谢谢。

OKTA-Shibboleth(Apache)-Nakisa(Tomcat)

SSO 正在登录。现在，我需要配置注销。因此，用户从应用程序中注销，用户需要被重定向到带有磁贴的 OKTA 页面。

但是，目前，用户再次被重定向到应用程序。

它将用户发送到 /logout?redirect=default.html 但该 default.html 被 Apache 规则捕获并重新登录用户。

看起来它需要点击 https://xxxx/Shibboleth.sso/Logout。当我访问此 url 时，它说注销已成功完成，尽管它不会返回 OKTA。这是否意味着在应用程序的注销设置中，他们需要重定向到此？

但是，我如何让用户再次回到 IdP（即 OKTA）？

这就是我认为会发生的事情。

配置 Shibboleth2.xml 的东西？文档说我只需要配置默认情况下存在的以下内容。

但是，一旦用户注销完成，它如何将用户重定向到 OKTA(IdP)。是否在 IdP 的元数据中配置？

我正在尝试在 kubernetes 环境中配置 shibboleth 服务提供者。

在非 docker 环境中，apache2 和 shibd 服务运行不同的服务器，并且 apache2 使用 mod_shib apache 模块与 shibd 通信（如果我错了，请纠正我）

是否可以将 shibboleth 服务提供者部署在单独的容器中，将 apache 部署在单独的容器中？如果是，是否有人已经这样做了？有文档吗？

因为我已经有 pod 运行我的环境。一个用于 apache，另一个用于 java spring boot 应用程序。Apache 充当我的 java 应用程序的反向代理。

现在我只想为shibboleth再部署一个容器，有可能吗？

我正在尝试使用 samltest.id IdP 配置 Shibboleth SP。我的设置如下：

Windows Server 2008 R2、IIS7.5、Shibboleth SP 3.0

我几乎一切正常 - 当尝试访问受保护的页面时，它正确地将用户重定向到 samltest 页面，并且 samltest 吐回正确的“Web 登录服务 - 不支持的请求”错误，因为我没有配置我的 SP测试。

我尝试使用https://samltest.id/upload.php上传我的配置，但此时我碰壁了。fetch 选项根本不起作用，我确信这是因为根本没有生成元数据文件。尝试从 https://{MySite}/Shibboleth.sso/Metadata 生成所述文件会出现 500 错误，我无法在任何地方找到任何信息来告诉我为什么会发生这种情况。

我检查了 Windows 事件查看器、IIS 日志文件、shibd 日志文件 - 没有任何迹象表明我做错了什么。

这是我的 shibboleth.xml 文件的精简版本，以防我遗漏了一些明显的东西：

如果有人对我可以看的地方有任何建议，我会喜欢的。

我有一个第 3 方应用程序，它使用 Tomcat 身份验证来创建会话。我计划通过将其与 Shib SP 集成来为该应用程序启用 SSO。启用 Shib SP 后出现错误。

我无法更改 3rd 方应用程序中的任何内容以使用 shib 标头。让我知道它是否可以工作。

我正在设置在 IIS（Windows Server 2019）下运行的第一个 Shibboleth 3.x 应用程序，但遇到了障碍。这是一个供应商的应用程序，而不是我自己编写的。

我目前已经进行了配置，以便用户可以成功进行身份验证和登录。但是，如果他们使用登录页面的特定 URL 以外的任何内容，则会失败并显示 500 代码。所以我觉得我的 shibboleth2.xml 文件中缺少一些东西。

此 URL 有效，用户可以在验证后手动与 Web 应用程序中的项目交互：https://Application/Login.aspx

此 URL 在用户进行身份验证并被重定向回 Web 应用程序后失败：https://Application/WMR.aspx?APGuid=E56AE53FB786466DD090D67D3B407C2C&PrevPage=Main.aspx

（第二个 URL 来自网络应用为用户生成的电子邮件）

任何人以前都看到过这种行为，并且可以指出我的解决方案吗？

谢谢！

我使用 SAML2 将 Siteminder 与 shibboleth 集成。在 saml2 响应中，在断言部分，我有双“Id”：

在 shibboleth 我有以下错误：无效的属性 ID。可以忽略属性“Id”吗？我无法解决这个问题......有人可以帮助我吗？

我第一次尝试运行 Shibboleth SP，但我立即遇到了一个我三天不理解的问题：/

我首先使用 docker 映像unicon/shibboleth-sp作为基础。到目前为止，我只是shibboleth2.xml在两个地方进行了修改。entityID我在该部分中编写了一个特定的 IdP ，<SSO>并添加了一个<MetadataProvider>指向包含 IdP 元数据的外部 XML 文件的文件。

恕我直言，当我尝试访问 SP 上受保护的 URL 时，这应该足以重定向到 IdP。但相反，我得到一个 Shibb-Exception No MetadataProvider available。

这些是我所做的更改shibboleth2.xml：

经过几天的调试，我很确定 SP 正确解析了<MetadataProvider>标签，但似乎完全忽略了它。设置 Log-Levels 以DEBUG显示 MetadataProvider 已被解析（其 XML 结构在日志输出中可见），但它不会尝试访问 URL。甚至没有 DNS 请求，www.aai.dfn.de也没有尝试访问该 URL。此外，日志中没有错误。甚至没有任何迹象表明它试图在日志中加载外部元数据。我在日志文件中遇到的第一个也是唯一一个错误是No MetadataProvider available在尝试访问受保护的资源之后。

我以前从未设置过 Shibboleth SP（因为每个人都告诉我这是一个 PITA）。我不确定这是否是 Shibboleth SP 或 docker 映像的问题。很可能我是问题所在，我只是错过了一些非常明显的东西......

我需要帮助 ：）

我使用的完整代码可以在这里找到： https ://gitlab.com/xsrf/shibb-sp/tree/5380f4550ac1a5ffb47d96138d837f1cf6acdb60