希望这不是重复或过于宽泛。我只是觉得我需要的信息比我能找到的任何其他信息要多。
我有一个程序/服务器已经内置了一个正常运行的SAML SP。我正在尝试将其连接到运行Windows Server的内部服务器上的测试Shibboleth IdP(V3.3.3)。我安装了它并连接到我们的Active Directory用户。该文档非常适合达到这一点。
现在我没有任何地球线索如何继续。我看到很多关于在SP和IdP之间交换配置/ XML信息和证书的信息。我相信我有一个有效的SP XML和证书可以提供给IdP,但我不知道:
1到4可能是我最大的困惑,我似乎无法找到信息。 Shibboleth文档似乎假设我比配置IdP更熟悉。它告诉我在哪里可以配置任何可能的东西,但我不知道我应该配置什么。
无论如何,感谢您对此提供任何帮助。我一直在浪费可怜的时间来解决这个问题。
答案 0 :(得分:1)
要回答您的五(5)个问题,而又不失一般性,我们假设
(I)SAML IdP的元数据文件是idpsaml-metadata.xml
(II)SAML SP的元数据文件是sp-example-org.xml
问与答
答案:/opt/shibboleth-idp/metadata/sp-example-org.xml
回答:SAML SP的元数据文件由SP证书组成。 SAML IdP将从SAML SP的元数据(例如sp-example-org.xml)中提取SP证书
答案:SAML IdP的元数据文件包含所有IdP证书(这些证书是由SAML IdP的默认设置生成的)。
您需要将SAML IdP的元数据文件(例如idpsaml-metadata.xml)放入SAML SP的主目录中,例如/etc/shibboleth/idpsaml-metadata.xml
答案:通常SAML SP使用HTTP-POST端点作为SAML IdP登录路径,例如
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://IdP-Server-URL/idp/profile/SAML2/POST/SSO"/>
您还需要使用LDAP用户身份验证配置Shibboleth IdP。
/opt/shibboleth-idp/conf/idp.properties
/opt/shibboleth-idp/conf/ldap.properties
/opt/shibboleth-idp/conf/attribute-filter.xml
/opt/shibboleth-idp/conf/attribute-resolver-full.xml
答案:为了允许SAML IdP为SAML SP提供身份验证,SAML IdP和SAML SP都需要交换其元数据。 然后,您需要使用SAML SP配置SAML IdP。
SAML IDP /opt/shibboleth-idp/conf/metadata-providers.xml
/opt/shibboleth-idp/conf/relying-party.xml
SAML SP
/etc/shibboleth/shibboleth2.xml
/etc/shibboleth/attribute-map.xml
备注:
GitHub存储库上的How to build and run Shibboleth SAML IdP and SP using Docker container提供了Shibboleth IdP和SP的示例配置文件。