问题标签 [shibboleth-sp]

我最近Shibboleth Service Provider为我的 IIS Web 服务器和 Microsoft Azure 进行了配置。身份验证就像一个魅力，但我确实在让 Azure 或 Shibboleth 重定向到我正确的本地注销页面时遇到了一些问题。

老实说，我不是 100% 确定注销机制是如何工作的，但是从我的网页上我称之为注销：

https://my.webserver.xyz/Shibboleth.sso/Logout

这实际上会让我在我的应用程序上从 Azure 中注销，但我的问题是它会在注销后显示这个标准的 Shibboleth 注销页面：

但我希望它重定向到https://my.webserver.xyz/loggedout/而不是这个标准信息。经过更多的故障排除后，我发现我可以添加这样的 URLreturn参数：

https://my.webserver.xyz/Shibboleth.sso/Logout?return=https://my.webserver.xyz/loggedout/

但这给出了与 Shibboleth 完全相同的本地 HTML 文件。

我知道我可以更改本地 Shibboleth/etc/localLogout.html文件以重定向到我的注销 URL：

但这似乎是一种糟糕而繁琐的方法，所以我肯定在这里遗漏了一些细节。如果相关，我将 [Shibboleth][2] v3.1.0.1 与 IIS 和 PHP 一起使用。

谁能指出我如何直接导航到我的注销页面的方向？

我们有一个 shibboleth 本机 SP 2.5.4，它已经运行了几年，没有任何问题。昨天我不得不更新其中一个 IDP 的证书。自重新启动以来，我一直收到间歇性错误：

无法连接到 shibd 进程，应通知站点管理员。

错误似乎以突发形式发生，如每分钟的错误数所示：

重新启动 httpd 和 shibd 并没有解决问题。SElinux 被禁用。

在 /var/log/shibboleth-www/native_warn.log 我有：

内存和 CPU 对我来说看起来不错：

知道是什么原因造成的吗？

当用户单击注销时，我将他们重定向到“/Shibboleth.sso/Logout”
这成功地将他们带到 Microsoft 注销页面，然后他们被重定向回 SP。
但是，当它们返回到 SP 时，它们会收到一条 SOAP 错误消息。

操作系统：Red Hat Enterprise Linux Server 7.9 (Maipo)
Apache 版本：Apache/2.4.46 (Unix)
Shibboleth 版本：3.2.0

尝试停止 Apache ( apachectl stop ) 时出错：

<Apache>/conf/httpd.conf 的第 528行：

<Apache>/conf/myshib.conf 的第 13行：

尝试过 - https://superuser.com/questions/1283252/slappasswd-symbol-lookup-error-undefined-symbol-ber-sockbuf-io-udp

• 但是运行“ export LD_LIBRARY_PATH=/lib64:$LD_LIBRARY_PATH ”并没有解决问题。

“ ldd /usr/lib64/libldap_r-2.4.so.2 ”命令的输出：

然后尝试 - https://unix.stackexchange.com/questions/193320/yum-corrupted-on-rhel-6

" for lib in /lib64/ .so.的输出；do if nm -D $lib|grep ber_sockbuf_io_udp; then echo $lib; fi; done " 命令：

“ rpm -qf /lib64/liblber-2.4.so.2 ”命令的输出：

试图安装“openldap”，但它已经存在

重新启动整个服务器并使用“ yum reinstall openldap.x86_64 ”命令重新安装“openldap”，但没有运气。

Apache 在访问https://hostname.domain.com 时启动并返回响应，但使用 URL https://hostname.domain.com/Shibboleth.sso/Metadata 通过 Apache 下载 Shib Metadata XML 文件失败。

如果我错过了添加任何明显的内容，我深表歉意。

更新：
在使用旧版Shibboleth 3.1.0时有效

我收到错误“ 400 Bad Request 您的浏览器发送了一个此服务器无法理解的请求。原因：您正在向启用 SSL 的服务器端口发送纯 HTTP。请改用 HTTPS 方案访问此 URL。 ”

我想要实现的是：

1. Docker Run 使用 apache2 和 Shibboleth 的 Docker Image 分别运行在端口 http(8090) 和 https(8443) 上，带有自签名证书。使用 docker run 在本地运行图像工作正常。http://localhost:8090/ ----> 工作正常 https://localhost:8443/Shibboleth.sso/Status ----> 给出证书错误但接受并忽略后工作正常。（通过 apache2 000-default.conf ProxyPass /Shibboleth.sso/ https://localhost:8443/Shibboleth.sso/Status 访问的 Shibboleth 服务）

2. Kubernetes 平台 下面是为访问同一个镜像而创建的部署、服务和入口。

默认域使用 *.example.com 的 https

并返回“ 400 Bad Request 您的浏览器发送了一个此服务器无法理解的请求。原因：您正在向启用 SSL 的服务器端口发送纯 HTTP。请改为使用 HTTPS 方案访问此 URL，请”

我也通过入口注释和 apache2 重定向尝试了多种解决方案，但似乎没有任何帮助。

在 apache2 上进行重定向时，它不会将 localhost 作为变量。

不考虑localhost并作为dns。

还尝试在入口级别重定向，这也给出了 404 not found 错误。

请在这里帮忙！！！

我很好奇 Shibboleth 的服务提供商在其配置中安装/更新元数据文件时如何避免其 Shibboleth 服务停机。我已经看到一些网站为用户提供上传他们自己的元数据文件并几乎可以立即访问 SSO 的功能 - 这怎么可能？

在某些情况下，这是我目前必须做的：

1. 将新的 XML 元数据文件添加到 C:\opt\shibboleth-sp_metadata
2. 将新的“MetadataProvider”元素添加到 C:\opt\shibboleth-sp\etc\shibboleth\shibboleth2.xml
3. 打开 Windows 服务并重新启动“Shibboleth Daemon (Default)”服务。服务重新启动时，用户无法通过 SSO 登录，屏幕上出现错误消息，提示 Shibboleth 服务当前不可用
4. 5-10 分钟后，SSO 服务启动并可以使用

幸运的是，我很幸运拥有多台服务器，我可以将它们离线以避免用户停机，但我很好奇，如果我只有一台服务器，当我需要配置/更新元数据文件时，我将如何避免用户停机对于新客户？

我对这个问题的目标是能够了解其他人如何能够配置/更新 Shibboleth 环境而不会导致用户停机。我真的很想实现配置新元数据文件的自动化，而不是手动执行此任务。

任何提示/指针将不胜感激。谢谢！

您好，在外部 IDP 和 shibboleth sp 之间有一个联合身份验证。在 shibboleth sp 对相同的响应进行身份验证后，很容易在本地应用程序中使用 server env 或 http 标头。我们需要将此身份验证与 ad fs 集成，而不让 ad fs 成为初始 IDP 的服务提供者。

我们想在 shibboleth sp 的登陆页面上创建一个 jwt 令牌，然后强制一个 http 帖子到 ad fs。ad fs 是否可以通过此 jwt 令牌进行身份验证并将 jwt 声明重新映射到 as 用户以打开经过身份验证的会话？

否则可以创建一个链，如：

外部 IDP --> shibboleth sp --> ad fs sp

我们想：External IDP --> shibboleth sp --> shibboleth IDP SSO with sp--> ad fs sp

但是我们不确定是否可以在 sp 和 IDP 之间不添加身份验证

还有什么想法吗？

我想将 Shibboleth SSO 与我使用 Firebase 身份验证的网络应用程序集成。工作流程将如下所示：

1. 用户（又名委托人）想要登录我的应用
2. 我的应用充当“服务提供者”并将用户重定向到“Shibboleth 身份提供者”
3. 身份提供者将用户重定向回我的应用

在第 3 步之后，我正在考虑在身份提供者识别用户后使用Firebase 自定义令牌登录用户。但是，我不太确定在 Firebase / Google Cloud 环境中实现其余流程的最佳方式是什么。如有必要，我想避免使用 Shibboleth 提供的软件来配置服务器，因为执行几个重定向似乎有点矫枉过正。有人用 Firebase Auth 实现了 Shibboleth SSO 吗？我看到Firebase Admin SDK 中有一些SAML 帮助服务（然后可以在简单的 Cloud Functions 中使用），但我找不到太多关于它的信息。

我需要执行以下步骤：

1 - 通过本地冷融合服务器上的 shibboleth 进行身份验证
2 - 在本地冷融合服务器上创建安全令牌
3 - 重定向到传递安全令牌的外部站点。

我可以通过 Coldfusion 执行重定向（以及如何完成），还是需要通过本地服务器上的 shibboleth 配置执行重定向？

您好，我的 Shibboleth SP 出现错误，每当我尝试通过 IdP 登录时，都会收到此错误消息。重定向网址本身对我来说似乎很好，所以我不确定问题的原因可能是什么。

我们的 idp 在他们的 url 中有一个端口，这https://idp.org:90/something_here可能是问题吗？