问题标签 [shibboleth]

是否可以在 .NET 中为 CAS Shibboleth 编写 MembershipProvider？

我正在前端使用 Shibboleth 身份验证的应用程序。如何检索经过身份验证的用户名以便在我的应用程序中显示它？

我已将 Shibboleth 与手动登录一起使用，这意味着用户单击网站上的登录链接，该链接会打开 Shibboleth 登录页面所在的外部页面。一旦通过身份验证，它会将它们重定向回原始站点到启用 Shibboleth 的页面。

我的问题是一旦登录，他们就会转到另一个站点，我如何自动验证他们，因为他们已经从第一个站点获得了 Shibboleth 会话。他们是否必须单击第一个站点之类的操作，而该操作又将使用用户看不到的一些隐式重定向自动登录它们，或者我可以在没有用户单击登录链接而不检查每个页面加载的情况下执行此操作。

我们的两个高级客户使用 Shibboleth 进行 SSO。我对 Shib 的经验为零，并且没有要测试的实例。

最终，我们希望在我们的 Windows Azure (MVC) Web 角色中将 Shib SSO 与这些客户端集成。所以我的问题是：

1. 这可能吗？
2. 如果是这样，怎么做？是否需要在 Shib 上进行任何设置，它们是什么？

我去年在 MIX 11 上与 Vittorio Bertocci 谈过这个问题。他告诉我有一个名为“WS-Federation”的复选框可以在 Shib 中启用，这将启用兼容性。我从客户那里了解到，服务提供者支持 WS-Fed，但身份提供者不支持。

我将非常乐意用更多细节来补充这个问题，以回应评论。

我有几个 SAML 实施问题来解决我的困惑......

我需要在 Java Web 应用程序中实现 SSO。

1. 为此，我是否需要像这样在我的主机上安装 Shibboleth SP ，还是可以通过 OpenSAML 提供 SP 功能？

2. 我假设 shibboleth 和 OpenSAML 做的一样，但只是在网络服务器级别，而 OpenSAML 将在软件方面做。这个假设正确吗？

编辑：所以 shibboleth（根据 Scott Cantor 的说法）是用 OpenSAML 构建的……我的假设仍然成立吗？

1. 使用 OpenSAML 需要什么？只是 IdP 网址和在 idP 的注册？

2. 我是否需要提供一个 SP 目录，例如 ActiveDirectory/LDAP？

编辑：感谢您的回答，但有人可以直接回答上述问题并详细说明......

原谅我，我是一个 Shibboleth / SAML 2 菜鸟。希望这些都是直截了当的问题。

我最近发帖询问我们是否可以将 Shib/SAML 2 与 Azure ACS 集成。答案让我相信我们不能使用 ACS，而是使用较低级别的 WIF + SAML2 Extensions CTP 库来实现一些东西。

在一个相关的问题上，我打电话给我们的一个附属机构，询问他们是否可以使用他们的 InCommon Federation 成员身份将我们的应用程序添加为服务提供商。他们问我是否要在托管我们的 MVC3 Web 角色的 Azure 机器上安装 Shibboleth 服务提供程序。

在他们提到这一点之前，我不知道有Shibboleth Service Provider 安装程序。根据我目前所读到的关于 SAML2 的所有内容，我的印象是，我们的 mvc3 Web 角色是服务提供者。

那么，什么是 Shibboleth 服务提供者？它有什么作用？在我们的 Azure 实例上安装它会增加什么价值？我是否必须拥有它才能针对 Shibboleth 进行 SSO？或者我们可以只做纯 saml2 吗？

我的偏好是不安装它，因为它必须安装在每个角色实例上，这使得部署需要更长的时间。

对 SAML 2 IdP 执行身份验证时，主题名称标识符应该用于什么？它是否跟踪每个用户的登录？

我想知道我的 SAML 2 服务提供商应用程序是否应该为不同的用户跟踪这些。由于它们是瞬态的，因此对于不同的登录，它们可能会有所不同（因此我需要使用挂起用户帐户的集合进行跟踪）。

我们已经安装了一个 Shibboleth 系统 (OpenAthens LA 2.2)，并且正在寻找一种将登录过程与另一个系统（我们的虚拟学习环境）集成的方法。

我们已经将我们的 VLE 注册为服务提供者并且登录过程正在运行，因此用户可以通过 Shibboleth 对 VLE 进行身份验证，从而创建一个会话，使用户能够访问其他受 Shibboleth 保护的资源，而无需再次输入他们的凭据。这也为我们工作。

但是，我们有两个要求：

1. 我们希望通过一个简洁易记的 URL 来宣传我们的 VLE，例如“http://learn.example.ac.uk”。
2. 如果 Shibboleth 系统发生故障，我们需要将用户发送到 VLE 的本机登录页面（这由网络设备监控）

触发 Shibboleth 登录的 URL（具体到 VLE，通过目标参数）很长，例如

https://vle.example.ac.uk/Shibboleth.sso/Login?entityID=https://shib.example.ac.uk/oala/metadata&target=https%3A%2F%2Fvle.example.ac.uk% 2FshibbolethSSO%2Flogin

我们想知道是否应该配置我们的负载均衡器以在用户请求http://learn.example.ac.uk时将其发送到这个长 URL （并且 Shibboleth 系统可用）。如果 Shibboleth 不可用，我们可以将它们转移到不同的 URL。

这比必须创建一个登录页面更可取，该页面仅显示“单击此处登录到 VLE”，上面的长链接是 URL。

我们所希望的可以实现吗？我很想听听其他 Shibboleth 用户如何引导用户访问他们的登录页面。我们担心我们的用户可能会为一个页面添加书签，这意味着当他们返回该页面时，他们会被转移到一个通用的 Shibboleth 登录页面，该页面不会将他们返回到 VLE，并且只会创建一个会导致混淆的“会话”。

我的团队开始使用 Desire2Learn Valence，而我们的 Shibboleth 身份验证似乎正在破坏初始 API 密钥身份验证过程。

我们有我们的 App ID 和密钥，但 Valence 身份验证表单将我们发送到 Shib 登录（不是我们的直接登录，就像“湖谷大学”示例那样），它永远不会返回 Valence 来完成该过程.

关于如何配置或更改它以使其正常工作的任何建议？

我的 Shibboleth 身份提供者正在向我发送所有大写的用户名和姓氏。我无法控制 IdP 发送的内容，但我想阻止我的服务提供商上的应用程序显示每个人的名字，就好像他们在喊它一样。 

1. 在 SP（我可以控制的 Ubuntu Linux 服务器）上，我可以在收到的属性传递给我的应用程序之前修改它们吗？

2. 如果是这样，将收到的属性转换为标题大小写的最佳方法是什么？