Единична регистрация и управление на идентичността с помощта на Shibboleth

Основно взаимодействие

SSO поток между IDP и SP

Следващата диаграма показва взаимодействието между потребителя, разположен в техния уеб браузър, IdP, разположен в организацията на дома, и SP, разположен в организацията на ресурси.

  • SP открива опита на потребителя да получи достъп до ограничено съдържание в рамките на ресурса.
  • SP генерира заявка за удостоверяване и след това изпраща заявката и потребителя до IdP на потребителя.
  • IdP удостоверява потребителя, след това изпраща отговора за удостоверяване и потребителя обратно към SP.
  • SP проверява отговора на IdP и изпраща заявката до ресурса, който връща първоначално заявеното съдържание.

Стъпки за конфигуриране:

Pic кредити - табло

Забележка-

  • Описаните по-долу стъпки за конфигуриране се основават на shibboleth 2.0.
  • Стъпките за конфигуриране са обяснени от гледна точка на IDP (Identity Provider), като се има предвид, че конфигурирате приложението SP (доставчик на услуги) във вашия инстанция shibboleth.

СТЪПКА 1. Влезте във вашия shibboleth сървър като sudo и изтеглете копие на вашите IDP метаданни.

  • Ще трябва да доставите това на доставчика по някакъв начин. Например, по имейл, качване и т.н. ... Понякога доставчик ще приеме (или изиска) метаданните да бъдат доставени чрез URI на метаданни. Нещо като по-долу.

https://shibboleth.idpname.org/idp/profile/Metadata/SAML

СТЪПКА 2. Ще ви трябва копие на метаданните на продавача. Когато го получите:

а. Качете го на вашия shibboleth сървър.

б. Копирайте го в /opt/shibboleth-idp/metadata/VENDOR-metadata.xml

° С. Уверете се, че разрешенията за файлове съвпадат с останалите в тази директория

д. Забележете идентификационния номер на своя Entity от първите няколко реда във файла с метаданни. Напр

Стойността на атрибута - URL адресът, https://www.spname.com/saml2/service-provider/xxxx - е идентификационният номер на субекта в фрагмента по-долу.

xmlns: MD = "урна: оазис: имена: TC: SAML: 2,0: метаданни"
entitid = “https://www.spname.com/saml2/service-provider/xxxx“>

СТЪПКА 3. Ще ви е необходим списък от атрибути, които продавачът очаква. идентификационен номер на служителя, потребителско име, пълно име и т.н.

СТЪПКА 4. На вашия сървър shibboleth редактирайте /opt/shibboleth-idp/conf/relying-party.xml

a) Търсене във файла за подобни линии и добавете линии за новата интеграция. Атрибутът ID трябва да е равен на идентификационния номер на субекта.

ID = "https://www.xyz.com/saml2/service-provider/spgucgtqldxvmhxxxxxx"
доставчик = "https://shibboleth.idpname.org/idp/shibboleth"
defaultSigningCredentialRef = "IdPCredential">

b) Отново в същия файл потърсете подобни линии и добавете код за новата интеграция. В този случай атрибутът ID е произволен, за който решите. Файлът с метаданни, разбира се, е пътят към техните метаданни.

<Метаданни: MetadataProvider
ID = "vendorMetadata"
XSi: тип = "FilesystemMetadataProvider"
xmlns = "цт: боздуган: Шиболет: 2.0: метаданни"
metadataFile = ”/ opt / shibboleth-idp / metadata / vendor-metadata.xml” />

СТЪПКА 5. Редактиране /opt/shibboleth-idp/conf/attribute-filter.xml за добавяне на нова интеграция (списък на атрибути за нов доставчик).

а. Търсете подобни линии и добавете код за новата интеграция. Идентификационният номер е произволен, който сте избрали, но PolicyRequirementRulevalue трябва да е равен на идентификационния номер на субекта.

б. Изпращайте само това, което те (доставчик на услуги) имат нужда за интеграцията, за да работят.

° С. Наличните атрибути могат да бъдат намерени другаде в този файл, както и изброени в /opt/shibboleth-idp/conf/attribute-resolver.xml

д. Изпълнете командата xmlwf attribute-filter.xml, за да проверите за синтаксисни грешки

СТЪПКА 6. Рестартирайте Shibboleth / Tomcat, за да влязат в сила промените ви. Ако е PROD, ще искате да направите това по време на извънработно време: sudo service tomcat6 рестартиране (Ако сте влезли в системата като sudo, използвайте услугата рестартиране на tomcat6).

Помощ, не мога да намеря атрибута, който те (доставчик на услуги) искат

СТЪПКА 1. Проверете дали има един атрибут, наречен нещо различно (lastName срещу фамилия) и го използвайте.

СТЪПКА 2. имейл и eduPersonPrincipalName могат да бъдат идентични от страна на IDP, но имат различни SAML определения. Едното може да бъде използвано там, където другото не е.

СТЪПКА 3. Ако нищо не работи, ще трябва да добавите нов от LDAP. Ще трябва да се огледате, но да разгледате някои от съществуващите атрибути в /opt/shibboleth-idp/conf/attribute-resolver.xml, за да ви даде представа за това, което търсите.

Активиране на регистрирането на грешки

  • Включете влизането /opt/shibboleth-idp/conf/logging.xml. Това е файл, който Shibboleth проследява, за промени, така че не е нужно да го рестартирате, за да влязат в сила промените.
Логърите дефинират посочват кои пакети / категории са регистрирани, на кое ниво и коя добавка.
Нива: ИЗКЛЮЧЕН, ГРЕШКА, ПРЕДУПРЕЖДЕНИЕ, ИНФОРМАЦИЯ, ДЕБУГ, ТРАСИЯ, ВСИЧКИ
 →

 

 

 ->
  • Потърсете в директорията за регистриране на съответните съобщения / opt / shibboleth-idp / logs
  • Ако Tomcat няма да стартира, проверете неговата директория за логване, / var / log / tomcat6

Моля, не се колебайте да оставите коментар и да ме уведомите дали сте се радвали да четете тази статия.

Благодаря за четенето, моля, споделете го, ако сте намерили за полезно. ЧЕСТИТ ШИББОЛИЗИРАНЕ :)