与Shibboleth SP的OKTA集成问题

Question

我正在进行POC，我需要将Shibboleth SP与OKTA idp提供程序集成。我已经完成了OKTA官方网站上记录的以下所有步骤。

1. 安装Shibboleth服务提供商  2.配置Web服务器以使用Shibboleth  3.配置Shibboleth以保护特定文件夹创建Okta SAML 2.0模板应用程序  4.Modify Shibboleth使用从Okta应用程序获得的元数据5.修改Shibboleth中的attribute-map.xml文件 设置适当的标头变量 6.Restart everything

但是第5步中缺少细节，我需要修改atrribute-map.xml。当我解雇受保护的URI（托管在apache上）时，它会被重定向到OKTA登录页面。但是在用户输入用户ID和密码并单击登录后，我在浏览器上获得了一个微调器，它从未将我带到Apache上托管的受保护站点URI。在Shibboleth SP中修复此属性映射的任何线索都非常受欢迎。

Answer 1

如果页面没有被重定向到SP，则问题不一定是attributes-map.xml

• 可能未正确配置端点。校验 {web app uri} /Shibboleth.sso/Metadata查看端点URL是否正确定义。
• 如果正确定义了entityID，请检查Shibboleth2.xml，这是Shibboleth正在保护的Web应用程序。
• 检查{web app uri} /Shibboleth.sso/Session这将显示从Okta发送的所有属性。您可以通过更改Shibboleth2.xml来显示值，因为它只是POC。
• 最后来到attributes-map.xml，您可以在其中配置与Okta达成协议的属性。这里预先配置了一些默认属性，如NameID。您可以在attribute-map.xml和/Shibboleth.sso/Session中看到格式和代码以便相应地使用。例如 格式= “$ NameQualifier！$ SPNameQualifier！$名称”

如果要添加自定义属性，只要名称与Okta发送的属性名称匹配，就可以使用如下所示的简单元素。

Answer 2

通过在OKTA端进行正确配置解决了这个问题.OKTA提供了sam2.0模板应用程序，用于与shibboleth集成。以下提到的此模板应用程序参数已正确配置。

• 回发网址 -
• 名称ID格式 - 瞬态
• 收件人 -
• 受众限制 -
• authnContextClassRef - PasswordProtectedTransport
• 回复 - 签名
• 断言 - 签名
• 请求 - 已压缩
• 目的地 -
• 属性语句 - 用户名| $ {user.userName}

然后我们的整合是成功的