ModificaCome si configura un provider di identità Shibboleth 3?
Quindi, penso di esserci quasi. L'unica cosa ancora mancante è che Shibboleth IdP restituisce un NameId temporaneo crittografato e ho bisogno che restituisca il nome utente, non crittografato. Se qualcuno riesce a farmi superare questo ultimo blocco, segnerò la risposta.
(fine edit)
Ho cercato di creare uno Shibboleth IdP 3 (la nostra applicazione supporta SAML, e abbiamo bisogno di un ambiente di test).
Il mio obiettivo è un ambiente semplice che interroga la nostra directory LDAP per fornire l'autenticazione.
Ho impostato Shibboleth IdP 3 e sembra che esegua correttamente la query in AD, ma sto avendo davvero difficoltà a trovarlo per restituire gli attributi (uid, Nome, Cognome, indirizzo email) che sto richiedendo.
Sono quasi sicuro che il mio problema è nei miei file attribute-resolver.xml e attribute-filter.xml, ma non sto avendo fortuna a farlo funzionare.
Fondamentalmente quello che succede è che ho effettuato l'accesso con successo (per quanto riguarda Shibboleth), ma quando restituisce l'asserzione alla mia applicazione, nessuno degli attributi è lì.
Ho provato ad aggiungerli a Attribute-resolver.xml e attribute-filter.xml, ma poi ottengo errori in idp-warn.log (sotto). È un errore credenziale. Sono abbastanza sicuro che la password del nome utente sia corretta, perché shibboleth è in grado di autenticarmi (fallirebbe se fosse sbagliato, vero?) Quindi ci deve essere qualcos'altro che non va con il mio setup.
Ho anche provato a restituire il nome utente nell'identificativo del nome asserzione, ma tutto quello che sembra tornare è una stringa codificata in base 64 (la decodifica produce byte che non decodificano di nuovo in una stringa, quindi sono non sono sicuro di cosa ci sia dentro).
A questo punto, quello che potrei davvero usare come riferimento per un buon how-to per impostare Shibboleth IdP 3 con LDAP. Ho esaminato i loro documenti online e, anche se ci sono molti dati grezzi, è molto difficile ricavare un elenco di tutto ciò che deve essere fatto per farlo funzionare. Eventuali suggerimenti?
Ciao Denis: Grazie per la risposta. Il wiki di Shibboleth a cui ti sei collegato era per la v2. Sfortunatamente, hanno aggiornato il sistema di configurazione nella versione 3.È molto complicato ora e il modo v2 di specificare in Attribute-Resolver è considerato legacy. Alla fine sono riuscito a cavarmela e farlo funzionare, con l'aiuto di alcune persone sui forum degli utenti di Shibboleth. – JMarsch
@ JMarsch, sì, l'implementazione dell'accesso a saml nella nostra app è stata straziante. Non ho idea del perché tutto debba essere così complicato. –
Parlamene: è stato terribile. – JMarsch