問題タブ [shibboleth]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ssl - shibboleth 認証で保護されたページをどのように取得しますか?
shibboleth 認証で保護されたページからデータをスクレイピングしようとしています。cURL と webisoget を正しく動作させるのに問題がありました。だから、証明書を渡して必要なページを取得できると思っていたので、wgetを試しています。ただし、これにも問題があり、問題に関するドキュメントを見つけるのに苦労しています。
実行しようとしている wget コマンドは次のとおりです。
これは、そのコマンドが返すものです:
しかし、ページを受け取っても、スクレイピングしたい情報が含まれていません。返されるページは、読み込み時にフォームを自動送信するフォームを含むページです。フォームには、pubcookie と relay_url の非表示の入力フィールドが含まれています。
資格情報でログインすると、ページにアクセスできます。ただし、これを自動化し、情報を取得するのに苦労しています。
ajax - 2 つの SP 間の SAML/SSO Ajax リクエスト
SSO/SAML の理解不足で頭が爆発しそうです。現在、shibboleth を使用して SSO ID プロバイダーを実装するプロジェクトに取り組んでいます。
SSO が稼働しており、1 つのアプリを介して認証し、問題なく別のアプリに移動できます。さて、次の要件は、アプリ A が、アプリ B への Ajax 呼び出しを問題なく行うページを返すようにすることです。
これで、(ブラウザーのリダイレクトを介して) フロント チャネルを動作させるためのセットアップが完了したので、アプリ A に Ajax 呼び出しを行うと、301 応答が返され、SP/IdP 間のリダイレクトが開始されますが、Ajax は明らかに従いません。
一方、アプリ A からアプリ A への Ajax 呼び出しを行う場合、ローカル セッション ID を介して送信するため、IdP と通信するためにリダイレクトを送信する必要はありません。
ここで、ブラウザーを介して手動でアプリ B に移動し、すべてのリダイレクトを許可すると (したがって、アプリ B のローカル セッション Cookie も取得します)。その後、まだアプリ A の応答から Ajax リクエストを作成できません。これは、アプリ A のドメインのページにアクセスしているときに、ブラウザーがアプリ B の Cookie 情報を送信しないためです。
だから私の質問は次のとおりです:
アプリ A とアプリ B が兄弟サブドメインである場合、ブラウザーが必要なすべてのセッション Cookie を通過するようにするにはどうすればよいでしょうか?
この種の Sp/IdP 通信は、ブラウザ経由で発生しているリダイレクトに付随して、バック チャネル経由で発生する可能性があると私は推測しています。私が理解していないのは、これがどのように可能であるかです:-)。アプリ A 経由でログインすると、IdP は独自のセッション Cookie を追加するため、アプリ B にアクセスした後にリダイレクトが発生したときに再認証する必要はありません。 、そもそもブラウザが IdP の Cookie をアプリ B に渡さないため、私を認証するために IdP に何を送信できますか。
ノート:
これがはっきりしていない場合は申し訳ありませんが、今はうまく説明できません。達成する必要があることを説明したほうがよいかもしれません。
- アプリケーションをヒットし、SSO を使用してサインインする
- 私がサインインしたアプリケーションは、多数の ajax ウィジェットを備えたポータル タイプのアプリです。
- 各ウィジェットは、SSO によって保護されている他のアプリへの Ajax 呼び出しを行います。
何か案は?乾杯、クリス。
java - Javaアプリケーションサーバーでのshibbolethシングルサインオン
shibboleth wikiを読んでみましたが、春ベースの複数のWebアプリにshibbolethシングルサインオンを統合する方法を理解できませんでした。データベースベースの認証が必要なので、jaasを使用する必要がありますか?それはどのように機能しますか?誰かが次のような手順を詳しく説明できますか?a)shibboleth idpをインストールしますb)サービスプロバイダーなどとしてjaasを構成しますか?
どんな助けでも正しい方向を指すようにいただければ幸いです
ありがとう
tomcat - ADFS 2.0 と SAML/SSO を使用して Tomcat の Web アプリケーションを保護するにはどうすればよいですか?
Web アプリケーション (Tomcat 5.5 上) を ADFS SSO で保護したいと考えています。Web アプリケーションは、Apache2 とその書き換えモジュールを介して外部からアクセスされます。
動作させるにはいくつかの手順があります (順不同)。ADFS - ADDS b. シボレス - ADFS c. Apache2 - シボレス d. XXXXX - トムキャット
すべてのチュートリアルは明確ではないか、多くのバグがあるか、古くなっているため、上記のすべての手順に問題があります。ADFS と ADDS は Windows Server 2008 R2 で実行されています Shibboleth、Apache2、Tomcat は Centos 5.5 で実行されています
上記のすべてのテクノロジーを接続する方法についてアドバイスをお願いします。
これが私のために働くShibboleth構成です:
Apache の設定は次のとおりです。
また、ADFS 2.0 にRelying Party Trustを追加し、次のプロパティを設定しました。
また、 SAML アサーション コンシューマ エンドポイントを次のように追加しました。
何かを逃したかどうかはわかりません。
今、私は新しい問題を抱えています。ブラウザはログインしたかどうかを認識しますが、webapp 側で誰がログインしているかを知る必要があります ( HTTP_EMAILなどのプロパティがありますが、これらはすべて空です。
perl - Shibboleth Service Provider で Remote-User 変数を処理する
Perl CGI Web アプリケーションは、私の Shibboleth サービス プロバイダーです。Shibb によって保護された cgi が、Shibboleth IDP へのリダイレクトを引き起こしています。IDP で認証が成功し、保護された CGI ページにリダイレクトされます。Shibboleth セッション変数は表示されますが、'REMOTE_USER' 変数セットは表示されません。Shibboleth2.xml には、「REMOTE-USER="eppn transient-idtargeted-id"」が含まれています。私は何を間違っていますか?? REMOTE_USER(REMOTE-USER) を設定するには、属性構成ファイルで何をする必要がありますか?
ありがとう
c# - c#を使用してshibbolethセッションデータにアクセスする
サーバー(サーバー2003 IIS6)にShibboleth SPを正常にインストールし、サードパーティのIDPで動作しています。/ Session値が必要な属性を返すので、これが機能していることはわかっています。
現時点では、.netアプリケーションからこれらのセッション変数にアクセスすることはできません。変数は頭に入れられていません。
どんな助けでも大歓迎です。
--更新--attribute-map.xmlに、必要な属性(所属)に関連する次のものがあります
ここに追加する必要があるものはありますか?
python - ジャンゴとシボレス
Django の展開で Shibboleth を使用するためのオプションを調査しています。私が見つけたものから、物事はややまばらに見えます。以下についてコメントできる人はいますか?
django_shibboleth モジュールを使用している人はいますか ( http://code.arcs.org.au/gitorious/django/django-shibboleth/trees/1.1を参照)? もしそうなら、このモジュールでどのような経験をしましたか?
Django (例: django-saml2-sp) および一般的な Python (例: pysaml2) の SAML 2 実装は、いくぶん実験的であり、ほとんどドキュメントが含まれていないようです。Django/Python の安定した SAML 2 ソリューションを知っている人はいますか?
助けてくれてありがとう!
mediawiki - Shibbolethプラグインを使用してMediaWikiの重複するログインリンクを削除する
MediaWikiサイト(mw 1.17)にshibboleth認証(ShibAuthPlugin 1.2.3)を追加しました。それは非常に簡単であることが判明しましたが、今では別の関連する問題があります。2つのログインリンクがあります。Shibbolethログインリンクのみを使用できるようにしたい。
CSSを変更して不要なリンクを非表示にすることはできますが、それでは非表示になります。無効にしたい。ログインリンクを無効にする文書化された方法は、すべてのログインリンクを無効にします。私はMediaWikiを初めて使用し、構成にこの変更を加えることができ、必要なものを取得するためにコードをハックする必要がないことを期待しています。
おそらく、MediaWikiに精通している人が、そのような構成設定が存在するかどうか、またはコードの変更がこの種の問題を解決するためのベストプラクティスであるかどうかを教えてくれます。
よろしくお願いします、ピーター
database - ウェブサイトをシボライズする方法
ユーザー認証に電子メール アドレスを使用するアプリケーションがあります。
一部の大学ではユーザー認証に Shibboleth を使用していることを知っており、Shibboleth で使用されている大学のデータベースからメールを読み取ることができるプロセスはどのようなものか知りたいと思っていました。Shibboleth を介した認証については気にしないことに注意してください。必要なのは、電子メール アドレスを読み取れることだけです。
Shibboleth を使用するすべての大学で一般的なものですか、それともそれぞれ独自のケースですか?
このプロセスを実行する方法に関するドキュメントへのリンクは大歓迎です。ありがとうございました。
session-cookies - JMeter; セッションクッキー
私の問題に触れるいくつかの JMeter スレッドを見てきましたが、私の問題に対処しているようには見えません。
問題は、私がテストしている Web サイトが次のように機能することです。
- ログオン フィールドと送信ボタンを備えたホームページ。ブラウザでこのページを最初に参照すると、PHPSESSID Cookie が一意の値で設定され (応答ヘッダーに表示されます)、セッションを識別します。
- ユーザーがログイン ボタンをクリックすると (このページのユーザー名とパスワードは、システムの現在の状態では無関係です)、Web サーバーは、shibboleth を介して、LDAP を実行している別のサーバーにリダイレクトします。Shibboleth が続行するには、PHPSESSID Cookie の値が必要です。(ユーザーが正しい連合サーバーから来ていることを検証するため)。
- 次に、ユーザーはアカウントのユーザー名とパスワードを入力し、ログイン ボタンをクリックします。
- (有効な) アカウントが LDAP サーバーにログインします。アカウントが元の (1) サーバーに存在しなかった場合、shibboleth は LDAP フィールドを元のサーバーのアカウント データベースにマップします。次に、ユーザーは元のサーバー (1) に新しく作成されたアカウントにログインし、元のページにリダイレクトされます。
交換される他の SAML データがいくつかありますが、これは問題になるとは思いません。. . これまでのところ、問題はこの Cookie にあるようです。
JMeter が落ちているのはステップ 2 です。
- Cookie マネージャーを設定しないと、LDAP サーバーは、Cookie が有効になっていないと言います。(このエラーは応答データにあります)。
- PHPSESSID Cookie を指定せずに HTTP Cookie Manager を設定すると、LDAP サーバーは Cookie が有効になっていないと言います。(どの Cookie ポリシーに設定しても問題ありません)
- PHPSESSID cookie 値を指定すると、もちろん、各ユーザーは一意の値を持つ必要があるため、これは正しくありません。. . そこで、最初のページに RegExp ポスト プロセッサを設定して、リクエスト ヘッダーから PHPSESSID 値を抽出し、それを変数 ${PHPSession} に配置します。次に、HTTP Cookie Manager で、PHPSESSID Cookie に $ の値を指定します。 {PHPSession} . . . 文字通り、ヘッダーで* * が「Cookie: PHPSESSID=${PHPSession}」を送信します。
それで、私はこれを読みました。. . https://issues.apache.org/bugzilla/show_bug.cgi?id=28715
つまり、(言い換えると) 「... Cookie マネージャーはユーザー変数を展開しません...」、「... わかりました、修正しました... ユーザー変数を展開します...」、そして「. ..いいえ、そのフィールドではありません。それを行うように設計されていません。」
つまり...基本的に、HTTP Cookie Managerは各ユーザーに固有の値を持つセッションCookieを管理できないと言っています。(とはいえ、これが全体の目的だと思っていたものです)。
最初の応答ヘッダーから値が抽出された各ユーザーに一意の Cookie を設定して送信するには、他にどのようにすればよいですか?