我对Shibboleth的体验有限,我无权访问IdP或SP上的配置或日志。我正在尝试解决此问题:
以前的Shibboleth会话在客户端工作站上仍处于活动状态。尝试访问受以下.htaccess配置保护的文档时:
AuthType shibboleth
ShibRequestSetting requireSession 1
require valid-user
客户端(偶尔)收到以下错误消息:
Authorization Failed
Based on the information provided to this application about you, you are not authorized to access the resource at "http://myresourcepath"
Please contact the administrator of this service or application if you believe this to be an error
在排除故障时,我从
更改了.htaccessrequire valid-user
为:
require shib-session
我认为问题可能是弃用的参数 - 但在更改后,我仍然收到授权失败的消息。成功授权的唯一方法是清除浏览器缓存,重新访问提示进行身份验证的页面,然后授权通过检查,您成功点击页面,没有错误。
更重要的是,当.htaccess设置为:
时require shib-session
即使清除缓存并重新进行身份验证,授权错误消息仍然存在。我不得不将.htaccess改回
require valid-user
我不知道什么可能导致随机授权问题,如果会话无效,用户会被定向到idp进行登录,对吗?那是Shibboleth的设计。因此,会话必须是有效的 - 但为什么它不会将用户识别为该资源的授权?
此外:
在我收到消息并快速搜索后,似乎是来自idp的股票回复:
https://technical.bestgrid.org/index.php/Vladimir“s_general_Shiboleth_notes
表示:
此特定示例要求将用户变量设置为任何值 - 并且任何Shibboleth属性都可以与属性接受策略(AAP.xml)中指定的变量名一起使用。有关使用require指令的更多语法,请参阅SP htaccess文档中有关为Apache require指令实现的特定功能的示例。 没有该属性(或不提供该属性)的用户会收到以下错误消息(带有Shibboleth徽标)。 ....是同样的信息......
然而,这种形式的控制可能不是用户友好的 - 用户必须知道要么使用Autograph来发布属性,要么与他们的IdP管理员交谈以配置IdP上的属性。 另请注意,这不适用于延迟会话 - 在这种情况下,会立即获得相同的错误消息。 此外,请注意必须注意重叠的访问控制块。这些应该从最通用(“/”)到最具体(在上面的例子中作为“/ secure”)列出。否则,通用设置上更宽松的设置将覆盖特定设置上更严格的设置。