問題タブ [shibboleth]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - PHPは$_SERVERにShibboleth属性を必要としますが、それらはプロバイダーのHTTP応答ヘッダーにのみ存在します
私が理解している限り、Shibboleth属性を取得するには2つの方法があります。
- $_SERVERまたは
- (プロバイダーの)HTTPヘッダー応答内
後者の場合、どうすればそれらをアプリケーションで利用できるようにできますか?それらを一度キャッチして、putenv()を使用してサーバー環境に挿入しようとしても、それは現在のリクエストの期間中のみになります。セッションでそれらをロードすることはできましたが、それは正しく感じられません。
drupal - ルール モジュールが (外部の) 「ユーザー ログイン」イベントを取得していませんか?
私のインストールでは、ユーザーは Shibboleth [1] でログインしますが、「ユーザーがログインしました」イベントで実行されるように設定したルール [2] は実行されません。
一方、通常の Drupal の方法で管理者としてログインすると、ルールが実行されます。
これは、外部ログイン イベントがまったく処理されないということですか?
これを克服する方法はありますか?
security - SSO および Shibboleth 2.0 の使用に関する一般的な質問 - IdP から SP への属性の受け渡し
シングル サインオンの手法として Shibboleth 2.0 を使用する方法について調べています。私が持っている混乱の 1 つは、ID プロバイダー (IdP) がサービス プロバイダー (SP) に、ログインしているユーザーを正確に Web アプリに示すことができる電子メール属性を送信できるかどうかです。
たとえば、ユーザー Joe が、電子メール joe@acme.com で IdP に登録 (ユーザー作成/パスなど) するように指示され、アプリケーションが joe@acme.com を一意に識別できる場合、IdP からの認証応答はは、1.) はい、この人物は本人であり、2.) 彼のメール アドレスは joe@acme.com であることを示します。
Shibboleth フェデレーションにおける SSO の主な利点は、Joe が IdP で選択した特定のユーザー名とパスワードについてアプリケーションが何も知る必要がないことです。本当?もしそうなら、これは良い設計ですか、またはそのようなシステムを作ることのリスクと考慮事項は何ですか.
これが適切な設計でない場合、一般的な代替手段は何ですか?
私のアプリケーションでは、私は SSL の背後にあり、すべての個人の電子メールは既知であり、一意です。ありがとう。
single-sign-on - 認証成功後に Shibboleth 資格情報を渡す
Shibboleth について高レベル/概念的な質問があります。
データ駆動型 Web アプリのフロントエンド (Drupal を実行) に取り組んでいます。エンドユーザーはフロントエンドとやり取りしてデータ クエリを作成します。これにより、キャッシング/アーカイブ データ プロキシ (「データ取得サービス」) に対してバックグラウンド リクエストが行われ、キャッシュからデータが配信されるか、さらにクエリが実行されます。必要なデータがあるサービス (「そこにある」)。これまでのところとても良いです...華やかですが、私たちが解決しようとしている問題と同じくらい華麗です.
問題点は次のとおりです。データ取得サービスによって照会されるサービスの中には、ユーザー レベルの認証を実装したいものがあるため、一部のユーザーはデータにアクセスできますが、他のユーザーはアクセスできません。組織上の理由から、ID と認証のメカニズムは Shibboleth になる可能性があります。
これが私のシナリオです。ユーザーは Shibboleth を使用してフロントエンドにログインします。さて、私のフロントエンド、ひいてはデータ検索サービスは、ユーザーとして外部サービスに対して認証を行うことができますか? もしそうなら、それは実際にはどのように機能しますか (どの認証データがサーバーからサーバーに渡されますか)?
restful-authentication - シボレスの安らかなAPI
学生の認証にShibbolethを使用する大学向けのAndroidアプリケーションを作成しています。
私はAndroidネイティブアプリ(Webビューではない)を作成しているので、プログラムでユーザー名とパスワードを渡し、ユーザーのユーザー資格情報を取得したいと思います。Shibbolethには、私が使用できる安らかなAPIがありますか?
例:CASにはhttps://wiki.jasig.org/display/CASUM/RESTful+APIがあり、プログラムでユーザー名とパスワードを送信し、チケットのクレデンシャルを取得できます。シボレスに似たものはありますか?
shibboleth - Shibboleth は、Oracle データベースに基づいて、LDAP なしで直接動作できますか
Shibboleth は LDAP なしで動作しますが、Oracle データベースに直接基づいていますか?
cas - シボレスとCASの違いは?
Shibboleth と CAS の違いを教えてください。
saml - Shibboleth SP が誤ったユーザー ID をアプリケーションに渡す
Shibboleth SP (最新バージョン - 2.4.2) を使用して Shibbolized した Rails アプリがあります。Apache 2.2 で使用しています。私の IdP は MS AD FS 2.0 サーバーです。
ユーザーはサイトにアクセスし、AD FS にリダイレクトされ、認証されてから戻ってきて、サイトにログインします。
問題は、いったんそれを行うと、別のユーザーとしてタイムリーにログインすることがほとんど不可能になることです。すべての Cookie をクリアして (Mac の Safari と Chrome で試しています)、ブラウザを再起動できますが、最初に Alice として認証されてから Carol としてログインしようとすると、アプリケーションにログインしたままになります。アリスとして。
Cookie をクリアした後に shibd が受信した SAML 応答には、正しい ID が含まれています。
しかし、Shibboleth SP が環境変数をアプリに渡すと、代わりに間違った資格情報が送信されます。
すべての Cookie を破棄しても、Shib-Session-ID は同じになります。どういうわけか、SAML 応答からのアカウント情報で新しいセッションを作成するのではなく、2 つのやり取りを関連付けて既存のセッションを再確立しているようです。
見つけることができるすべてのキャッシュ タイムアウト値を 60 秒に設定しましたが、ブラウザーを閉じた状態で 2 ~ 3 分待つだけでは、新しいセッションを作成するのに十分ではありません。
...
apache と shibd を再起動すると、ブラウザーを閉じて長時間 (10 ~ 15 分?) 放置しても機能します。
私は何が欠けていますか?他にどのような手段を追求する必要がありますか?
screen-scraping - Shibboleth で保護された Web サイトからデータをスクレイピングするにはどうすればよいですか?
認証/保護の形式として Shibboleth を使用している私の大学の Web サイトの 1 つからデータをスクレイピングしようとしています。ただし、それを乗り越えてスクレイピングしたいページに到達するための最良の方法を判断するのに苦労しています。ログインに使用できる有効な資格情報があります。このタスクを達成する方法について何か提案はありますか?
ruby-on-rails - ShibbolethとSAMLに関する優れたドキュメント?
Shibboleth Wikiページ以外に、できればRubyアプリケーションで、SSOにShibbolethとSAMLを使用するための役立つドキュメントはどこにありますか?ShibbolethのRuby固有のドキュメントは非常にまばらなようです。誰かが良いリソース、チュートリアル、またはハウツーを知っていますか?