Shibboleth SSO 连接到 SP 或维护用户存储

Shibboleth SSO connect to SP or maintain user store

我是 Shibboleth 的新手,想为我的客户提供现有系统的 Idp。目标是让其他第 3 方应用程序登录以获得使用 SAML SSO 的无缝登录体验。

现在客户端已经配置了一个现有的 Shibboleth 服务提供商。

我一直在阅读 Authenication Configuration and specifically the PasswordAuthnConfiguration. This article about using a relation DBMS 也很有用。但是我觉得我可能误解了Idp的目的。

我是否需要为 Shibboleth Idp 提供和维护用户存储?如果是,Shibboleth 是否提供帐户创建/重置机制?或者我应该向 Idp 添加外部身份验证提供程序而不是维护用户存储?

Do I need to provide and maintain a user store for the Shibboleth Idp?

是的。 IdP 不维护帐户存储;它改为连接到提供该存储的现有系统,其中最常见的是 LDAP 或 Active Directory,或 JAAS 支持的系统。

If so does Shibboleth provide mechanisms for account creation / reset?

不,你必须 design/build 那些部分。在撰写本文时,Shibboleth IdP 不提供帐户管理、注册、密码重置等功能,所有这些都应该由您 handled/designed 作为系统的扩展。

Or should I be adding external authentication providers to the Idp and not maintaining a user store?

仅 IdP v4 提供 OOTB 对外部身份验证系统的支持,截至撰写本文时,其他外部 SAML2 身份提供者也支持该系统。在这种情况下,您的 IdP 将只是外部身份提供商的代理,它将处理帐户存储、注册等。