问题标签 [shibboleth-sp]

需要有关如何在基于 SSO 的应用程序中使用角色同时支持多个 SP（sso 客户端）的信息

我正在使用 CAS 协议开发基于 SSO 的架构。如何为同一用户管理跨不同 SP（服务提供商）的角色。我有 2 个服务提供商，例如 Sp1 和 Sp2 应用程序。我有一个用户-> 用户 1，他应该在 Sp1 中具有简单的“用户”角色，但在 Sp2 中具有“管理员”角色。我如何管理我的 IdP-Shibboleth 或任何其他来为用户释放相关角色？

我正在尝试为一个 IIS 实例上的两个站点配置 Shibboleth 服务提供程序：

• 带有静态 HTML 的前端 - 只是 SPA - 例如 site.com
• 带有 API 的后端 - 只是 REST - 例如 site-api.com

因此，当我打开第一个入口点时，我有 302 响应并重定向到 IdP，在输入凭据后 - 重定向到 site.com/Shibboleth.sso/SAML2/POST 并且一切正常。

我的 SPA 在浏览器中运行并向 site-api.com 发出 AJAX 请求。这是一个问题，因为我有 302 响应并再次重定向到 IdP。如果浏览器发出请求，我没有任何问题，因为会自动重定向到 IdP 浏览器处理。在 IdP 上通过会话 cookie 进行身份验证后，它再次重定向到 site-api.com/Shibboleth.sso/SAML2/POST。

如何在两个站点之间共享会话？如果用户已经在 site.com 上通过身份验证，是否可以在第一次请求到 site-api.com 后不进行重定向。

我已经用于第二个站点：

另外，我为 site-api.com 注册了 ISAPI 和 RequestMap。从技术上讲，它适用于 site.com。

我想我可以通过使用 XML 配置文件中的属性以某种方式共享会话，但对我没有任何作用。请帮忙。:)

我能够通过部署在 IIS 之上的程序（代码如下）获取 Shibboleth 返回的信息。

但是，当我使用以下设置跳转到 glassfish 时，我无法获取身份验证信息

经过调查发现，在IIS时，shibboleth返回的信息只能存在于请求头中。

我可以做些什么来让 glassfish 的应用程序可以使用这些信息

我的环境如下 OS：windows 2016 IIS：10 GlassFish：5.1.0

我的 shibboleth2.xml 如下：

attribute-map.xml 的设置如下：

浏览器返回iis程序的结果如下：

谢谢！！等待您的帮助！

我正在使用 CentOS 7 的测试环境、使用 Shibboleth SP 和 Shibboleth IDP 的 SSO 进行设置。完成所有配置后，如果我尝试访问服务器上受保护的源，则只会出现错误页面：

shibsp::ConfigurationException 在（http://server_ip/secure/index.html）

配置的 SessionInitiator 均未处理该请求。

我可以在 apache 日志（/var/log/httpd/error_log）上找到相同的消息，但在 shib_d 日志（shibd_warm.log、shibd_d.log）中没有关于该错误的信息。是否需要设置一些权限？或者这是正确的行为？

我认为错误出在元数据文件上，但是丢失的日志让我发疯了……

PS：如果我尝试覆盖手动访问页面“ http://server_ip/Shibboleth.sso/Login?entityID=my_idp_entity_id ”的登录，我可以到达登录页面并且日志文件已正确更新。

更新：

我已经配置了 Shibboleth 嵌入式发现服务（目前只有一个 IDP），并且在请求受保护的资源以及正确更新的日志后，我已成功到达 iIDP 登录页面。这是我将使用和部署的配置，但为什么只有一个 IDP 我无法登录？以下是 shibboleth2.xml One IDP 中不同的 SSO 标签：

发现服务：

我们遇到了 Shibboleth 和 Apache 服务器的问题。我正在与 Tomcat 应用程序的 SSO 门户集成。我已经确定了与 SSO 门户的集成，但我们遇到了属性映射问题。我们正在获取一个 NameID，它是电子邮件地址。我不知道我错过了什么。我可以在 Shibd.log 中看到电子邮件，但在 Shibboleth.sso/Session 中看不到任何属性这是我对属性映射的配置：

这是我在属性策略中的内容：

Shibd.log 有以下措辞：

但是，如前所述，我们在 Shibboleth.sso/Session 中看不到任何属性

我错过了什么吗？

我在 Drupal 8 和 IIS（8.5 版）中的 shibboleth 身份验证（模块：shib_auth 8.x-1 .x-dev）有问题，在 IDP 中登录后，我重定向到 Drupal，但我没有登录。
使用 SAML 浏览器扩展，我看到https://example.com/SAML2/POST的 POST 调用，此调用打开一个带有调试信息的 drupal 登录页面，我在其中找到服务器数组变量中的用户名和电子邮件，但未设置模块部分shib_auth 变量。
我检查 /Shibboleth.sso/Session 并发现正确打开的会话具有正确的属性。

我在报告中没有任何错误，用户存在于数据库中（shib_authmap 表）并且没有新用户。我认为该问题出在 shib_auth 模块配置中，但我在 drupal 站点中找不到任何日志文件或错误。

这是我的配置：

我的 IIS 网络配置：

我的 shibboleth2.xml：

我的 .htaccess 用于 drupal 站点：

调试 shib_auth 信息：

模块配置：

非常感谢您的任何建议或回复

我正在尝试将我的 docker 环境变量注入到我的 shibboleth2.xml 文件中。Shibboleth 根本无法识别我的环境变量。

例如

我想知道是否有办法让 Shibboleth 访问这些值？

谢谢你。

我们有 SSO 设置，我们使用 PingFederate 作为中央身份验证服务器（用于身份验证和授权）和 Shibboleth 作为我们应用程序的服务提供者。是否可以将 Azure Active Direcroty 配置为中央身份验证服务器，并将 Shibboleth 作为服务提供者。我看了很多文章，但没有找到任何相关的。我们现在计划用 AzureAD 作为 CAS 替换 PingFed。

出于可用性目的，我有一个带有 2 个正面和 2 个背面的冗余设置。每个前端都托管一个 Web 服务器，提供相同的页面。每个前端运行一个 Shibboleth SP 实例，重定向到同一个 IdP。两个前端都位于负载均衡器后面，暴露了一个唯一的公共地址。负载均衡器将在 shibboleth cookie 上设置会话亲缘关系。

在第一次连接时，用户未经过身份验证，Shibboleth SP 重定向到具有中继状态的 ADFS。身份验证后，ADFS 重定向到 LB 公共地址。

问题是，还没有 shibboleth cookie。Shibboleth SP 的任一实例都可以处理重定向吗？如果没有，如何按照描述正确管理 2 个 Shibboleth SP 冗余实例？

谢谢！

实际的 Spring Security 配置是这样的：

Web MVC 配置是这样的：

我必须通过使用 onelogin 的身份验证替换 Spring Security 中完成的 httpBasic 身份验证（如果我了解我在 Internet 上找到的内容，则使用 SAML）。

通过研究，我发现一种可能是在 Apache 服务器上使用 Shibboleth，另一种是使用 Spring Security 中的插件来管理 SAML。

对于第一个解决方案（shibboleth），目标是直接在 Apache 服务器上管理 onelogin 身份验证（如果未连接，用户将被重定向到 onelogin 身份验证页面，如果已连接，则资源可访问）并在 SAML 响应中返回所需信息（如用户名和其他需要的数据）在请求的标头中（能够在 Spring 应用程序中拥有它们）。

使用此解决方案，是否可以在 Spring 安全性中保留 httpBasic 身份验证并在 Shibboleth 设置的每个请求的标头中包含“Basic XXXX”？或者，我是否要从 Spring Security 中删除 httpBasic 身份验证？

对于第二种方案（Spring Security 中管理 SAML 的插件），是否与第一种方案的结果相同，必须如何实现？

预先感谢您的回复。