問題タブ [shibboleth]

代わりにクエリ文字列を使用するように、shibbolethにセッション（Cookie）の管理方法を変更させるにはどうすればよいですか？

IEはCookieを拒否しますが、FFは拒否しないため、クロスサイト開発で問題が発生しています。

p3pヘッダーを追加してみましたが無駄になりました。

Shibboleth 認証メカニズムを使用する Java EE Web アプリケーション (速度を使用して開発) をカスタマイズしようとしています。ただし、セッションを使用せずに SSO 認証を提供するように求められました。ユーザーは 1 つのポータルにサインインし、認証を受けます。同じポータルで、別のポータルへのリンクをクリックします。URL経由で認証を直接確認できるようにカスタマイズすることになっています。2 番目のポータルには、ユーザー名とそれぞれの役割を含む独自のデータベースがあります。私がよくわからない2つのことは次のとおりです。

1. ユーザーが最初のポータルからサインアウトした場合、2 番目のポータルはどのように認識しますか?

2. ユーザーが最初のポータルへの以前のアクセスから URL をコピーした場合、2 番目のポータルはどのように認識しますか?

これらの問題を回避する方法はありますか?

ユーザーの認証には Shibboleth を使用しました。それはうまくいきます。

問題は、ユーザー/ログアウトに移動した後 (そして、実際にログアウトしたと思います)、ユーザーがすぐに自動的に再認証されることです!

解決策はありますか？

ありがとう！

私はSAMLの世界に不慣れです。Shibboleth SPとIdPをインストールして、相互に動作させました。私は今、すべてが内部でどのように機能するかを理解しようとしています。

問題は、WindowsにApache用のSPをインストールするときに、ShibDaemonをインストールするかどうかを選択できるということです。誰かがそれが何のために使われているのか教えてもらえますか？SPを機能させることはオプションですか？

私はグーグルで古い投稿を検索しようとしましたが、それほど多くの詳細を見つけることができません。私の理解では、Shib SPはApache（私のインストール用）で実行されるモジュールであり、次の責任があります。

1. IdPとの信頼関係の設定

2. ブラウザからのリクエストを処理し、IdPにリダイレクトします

3. IdPからの応答を処理し、ユーザーの実際のアプリケーションページにリダイレクトします。

シブデーモンはこれらの作業に関与していないように私には思えます。私は何かを逃したのですか、それとも何かを誤解しましたか？

ありがとうございます！

ウェブアプリとサーバーを含む 2 つの製品があります。

両方にシングル サインオンを実装して、ユーザーが 1 つの製品にログインすると、そのユーザーに属する他の製品のリソースに自動的にアクセスできるようにします。

少し調べてみたところ、SAML が適切なアプローチであることがわかりましたが、どのように進めたらよいかわかりません。

独自のサービス プロバイダーを実装するのは良い考えですか? 私は Shib SP を見てきましたが、製品に統合したいのであれば、それほど簡単ではないようです。

ですから、以前に同様の問題に遭遇したことのある人からの提案を探しています。

もう 1 つの質問は、OpenSaml を使用して SP を実装する必要がある場合、どのリソースを学習できるかということです。参照できるチュートリアルや例はあまりないようです。

また、自分の SP に含める必要がある大きな手順やコンポーネントを誰かが指摘してくれれば、本当にありがたいです。

編集1：

私が欲しいものについての詳細を提供してみてください。2 つの個別の製品があります。現在、ユーザーデータベースを外部化できます。たとえば、当社の製品は、サービスを適切に実装している限り、LDAP サーバーまたはその他の外部ユーザー DB に接続するように構成できます。

ここでの目標は、両方の製品で SSO を使用することです。1 つのシナリオは、両方の製品に独自の SP コンポーネント (実装または統合) がある場合です。お客様は独自の IdP を持っている場合があります。いくつかの構成により、SP は IdP に接続し、そこから認証を行うことができます。ユーザーは両方の製品にアクセスするために 2 回ログインする必要はありません。もちろん、お客様が IdP をお持ちでない場合は、すぐに使用できる IdP を提供できます。

SAML2 Service Provider Web アプリケーションを .NET MVC でビルドします (3)。認証には、Shibboleth SPではなく、 ComponentSpace の SAML2 ライブラリを使用しています。関連するコントローラーロジックは次のとおりです。

最終的に、ユーザーはリレー URL またはデフォルトのログイン ページに到達します。ただし、リンクをクリックして [戻る] ボタンをクリックすると、ブラウザーは Shibboleth IdP サーバーのエラー ページに戻ります。その後、ブラウザの進むボタンと戻るボタンは最終的に役に立たなくなります。

上記の方法のいずれかで何か間違っていますか? 送信時に EmptyResult() ではなく View() を返す必要がありますか? IdP へのポストバックが繰り返されるのを防ぐためにブラウザの履歴をリセットする方法はありますか? これは、ComponentSpace の実装で構成できるものですか?

現在、OpenAMとShibbolethを調査しています。

私たちのアプリはSpringを使用して構築されておらず、Springの使用を検討していません。

Shibboleth IDP と SP をセットアップしました。それらは適切に構成され、機能しています。

SP を削除して、独自のコードに置き換えたいと考えています。つまり、shibd.exe と httpd.exe を実行せずに、Java コードを SP (ルーティング要求、ホスト メタデータ、および検証 SAML アサーション) として機能させたいと考えています。

これは OpenSAML を使用して可能ですか? 使用できる例はありますか?

IdP と SP の間で交換される SAML 2.0 アサーションに含まれるユーザー属性にサードパーティがアクセスできないことを、Shibboleth はどのように保証しますか?

IdP から SP への転送時にすべてのユーザー属性が暗号化されるというのは正しいですか? ユーザー属性は、アサーションにも含まれる対称鍵で暗号化されていますが、SP の公開鍵で暗号化されていますか?

私は Shibboleth フロントのマルチサイト WordPress インストールを管理しており、iOS WordPress アプリを使用したいユーザー (私自身を含む) がいます。残念ながら、私たちの Shibboleth 展開の性質は、ユーザーが SP によって大学中心の Shibboleth ログイン ページでプロンプトが表示され、認証されてから、認証トークンと共に WordPress に返されるというものです。WP プラグイン リポジトリの Shibboleth WordPress プラグインを使用しています。

アプリを外部認証プロバイダーで使用できるように、この種の問題を克服した人はいますか? どうもありがとう。