设置新的 Shibboleth IdP 以使用现有的 SAML SP
Setting up a new Shibboleth IdP to work with an existing SAML SP
希望这不是重复或过于宽泛。我只是觉得我需要的信息比我能找到的任何其他信息都多。
我有一个 program/server,它已经内置了一个正常运行的 SAML SP。我正在尝试将其连接到内部服务器 运行 Windows 服务器上的测试 Shibboleth IdP (V3.3.3)。我已经安装它并连接到我们的 Active Directory 用户。该文档非常适合达到这一点。
现在我不知道如何进行。我看到很多关于在 SP 和 IdP 之间交换 configuration/XML 信息和证书的信息。我相信我有一个有效的 SP XML 和证书可以提供给 IdP,但我不知道:
- 在 IdP 安装中将 SP XML 信息放在哪里
- 将 SP 证书放在 IdP 安装中的什么位置(或 setup/configure 证书的路径)
- 在哪里获取 IdP 证书(我认为默认设置会为我生成一些东西?不清楚)
- IdP 登录路径在哪里
- 是否需要配置其他任何东西才能让两者通话
1 到 4 可能是我最大的困惑,我似乎找不到相关信息。 Shibboleth 文档似乎假设我比我自己更熟悉配置 IdP。它告诉我在哪里配置 anything/everything 可能,但我不知道 我应该配置什么。
无论如何,感谢您对此提供的任何帮助。我一直在浪费可怜的时间来弄清楚这个问题。
为了不失一般性地回答您的五 (5) 个问题,我们假设
(I) SAML IdP 的元数据文件是 idpsaml-metadata.xml
(二)SAML SP的元数据文件为sp-example-org.xml
问答
- 在 IdP 安装中将 SP XML 信息放在哪里
答案:/opt/shibboleth-idp/metadata/sp-example-org.xml
- 将 SP 证书放在 IdP 安装中的什么位置(或 setup/configure 证书的路径)
答:SAML SP的元数据文件由SP证书组成。
SAML IdP 将从 SAML SP 的元数据中提取 SP 证书(例如,sp-example-org.xml)
- 从哪里获得 IdP 证书(我认为默认设置会为我生成一些东西?不清楚)
答:SAML IdP 的元数据文件包含所有 IdP 证书(由 SAML IdP 的默认设置生成)。
您需要将 SAML IdP 的元数据文件(例如 idpsaml-metadata.xml)放入 SAML SP 的主目录中,例如 /etc/shibboleth/idpsaml-metadata.xml
- IdP 登录路径在哪里
回答:通常 SAML SP 使用 HTTP-POST 端点作为 SAML IdP 登录路径,例如,
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://IdP-Server-URL/idp/profile/SAML2/POST/SSO"/>
您还需要使用 LDAP 用户身份验证配置 Shibboleth IdP。
/opt/shibboleth-idp/conf/idp.属性
/opt/shibboleth-idp/conf/ldap.属性
/opt/shibboleth-idp/conf/attribute-filter.xml
/opt/shibboleth-idp/conf/attribute-resolver-full.xml
- 是否需要配置其他任何东西才能让两者通话
回答:为了让SAML IdP为SAML SP提供身份认证,SAML IdP和SAML SP都需要交换他们的元数据。
然后你需要用SAML SP配置SAML IdP。
SAML 国内流离失所者
/opt/shibboleth-idp/conf/metadata-providers.xml
/opt/shibboleth-idp/conf/relying-party.xml
SAML SP
/etc/shibboleth/shibboleth2.xml
/etc/shibboleth/attribute-map.xml
备注:
How to build and run Shibboleth SAML IdP and SP using Docker container at GitHub 存储库提供了 Shibboleth IdP 和 SP 的示例配置文件。
希望这不是重复或过于宽泛。我只是觉得我需要的信息比我能找到的任何其他信息都多。
我有一个 program/server,它已经内置了一个正常运行的 SAML SP。我正在尝试将其连接到内部服务器 运行 Windows 服务器上的测试 Shibboleth IdP (V3.3.3)。我已经安装它并连接到我们的 Active Directory 用户。该文档非常适合达到这一点。
现在我不知道如何进行。我看到很多关于在 SP 和 IdP 之间交换 configuration/XML 信息和证书的信息。我相信我有一个有效的 SP XML 和证书可以提供给 IdP,但我不知道:
- 在 IdP 安装中将 SP XML 信息放在哪里
- 将 SP 证书放在 IdP 安装中的什么位置(或 setup/configure 证书的路径)
- 在哪里获取 IdP 证书(我认为默认设置会为我生成一些东西?不清楚)
- IdP 登录路径在哪里
- 是否需要配置其他任何东西才能让两者通话
1 到 4 可能是我最大的困惑,我似乎找不到相关信息。 Shibboleth 文档似乎假设我比我自己更熟悉配置 IdP。它告诉我在哪里配置 anything/everything 可能,但我不知道 我应该配置什么。
无论如何,感谢您对此提供的任何帮助。我一直在浪费可怜的时间来弄清楚这个问题。
为了不失一般性地回答您的五 (5) 个问题,我们假设
(I) SAML IdP 的元数据文件是 idpsaml-metadata.xml
(二)SAML SP的元数据文件为sp-example-org.xml
问答
- 在 IdP 安装中将 SP XML 信息放在哪里
答案:/opt/shibboleth-idp/metadata/sp-example-org.xml
- 将 SP 证书放在 IdP 安装中的什么位置(或 setup/configure 证书的路径)
答:SAML SP的元数据文件由SP证书组成。 SAML IdP 将从 SAML SP 的元数据中提取 SP 证书(例如,sp-example-org.xml)
- 从哪里获得 IdP 证书(我认为默认设置会为我生成一些东西?不清楚)
答:SAML IdP 的元数据文件包含所有 IdP 证书(由 SAML IdP 的默认设置生成)。
您需要将 SAML IdP 的元数据文件(例如 idpsaml-metadata.xml)放入 SAML SP 的主目录中,例如 /etc/shibboleth/idpsaml-metadata.xml
- IdP 登录路径在哪里
回答:通常 SAML SP 使用 HTTP-POST 端点作为 SAML IdP 登录路径,例如,
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://IdP-Server-URL/idp/profile/SAML2/POST/SSO"/>
您还需要使用 LDAP 用户身份验证配置 Shibboleth IdP。
/opt/shibboleth-idp/conf/idp.属性
/opt/shibboleth-idp/conf/ldap.属性
/opt/shibboleth-idp/conf/attribute-filter.xml
/opt/shibboleth-idp/conf/attribute-resolver-full.xml
- 是否需要配置其他任何东西才能让两者通话
回答:为了让SAML IdP为SAML SP提供身份认证,SAML IdP和SAML SP都需要交换他们的元数据。 然后你需要用SAML SP配置SAML IdP。
SAML 国内流离失所者 /opt/shibboleth-idp/conf/metadata-providers.xml
/opt/shibboleth-idp/conf/relying-party.xml
SAML SP
/etc/shibboleth/shibboleth2.xml
/etc/shibboleth/attribute-map.xml
备注:
How to build and run Shibboleth SAML IdP and SP using Docker container at GitHub 存储库提供了 Shibboleth IdP 和 SP 的示例配置文件。