Настройка нового IdP Shibboleth для работы с существующим SAML SP

Question

Надеюсь, это не дубликат или не слишком широкий.Я просто чувствую, что мне нужно немного больше информации, чем что-либо еще, что я смог найти.

У меня есть программа / сервер, в котором уже есть работающий SAML SP.Я пытаюсь подключить его к тестовому Shibboleth IdP (V3.3.3) на внутреннем сервере под управлением Windows Server.Я установил его и подключил к нашим пользователям Active Directory.Документация была отличной для того, чтобы добраться до этого момента.

Теперь я не имею ни малейшего понятия, как действовать дальше.Я вижу много информации об обмене информацией о конфигурации / XML и сертификатами между SP и IdP.Я полагаю, что у меня есть действующий SP XML и сертификат для IdP, но я не знаю:

1. Где поместить информацию SP XML в установке IdP
2. Гдепоместить сертификат SP в установку IdP (или настроить / настроить путь к сертификату)
3. Где взять сертификат IdP (я думаю, что установка по умолчанию генерирует что-то для меня? Неясно)
4. Где путь входа в систему IdP:
5. Независимо от того, есть ли что-то еще, что мне нужно настроить, чтобы заставить этих двух говорить

с 1 по 4, вероятно, мои самые большие заблуждения, которые я не могукажется, найти информацию о.Документация Shibboleth, кажется, предполагает, что я гораздо лучше знаком с настройкой IdP, чем я.Он говорит мне, где буквально настраивать что угодно / все возможное, но я не знаю что мне следует настраивать.

В любом случае, спасибо за любую помощь по этому вопросу.Я тратил жалкое количество времени, пытаясь понять это.

Answer 1

Чтобы ответить на ваши пять (5) вопросов без потери общности, мы предполагаем, что

(I) файлом метаданных SAML IdP является idpsaml-metadata.xml

(II)файл метаданных SAML SP - sp-example-org.xml

Q & A

1. Где поместить информацию о SP SP XML в установку IdP

Ответ: /opt/shibboleth-idp/metadata/sp-example-org.xml

Где поместить сертификат SP в установку IdP (или настроить / настроить путь к сертификату)

Ответ: Файл метаданных SAML SP состоит из сертификата SP.SAML IdP извлечет сертификат SP из метаданных SAML SP (например, sp-example-org.xml)

Где взять сертификат IdP (я думаю, что установка по умолчанию генерирует что-то для меня? Непонятно)

Ответ: Файл метаданных SAML IdP состоит из всех сертификатов IdP (которые были сгенерированы)по умолчанию настройка SAML IdP).

Вам необходимо поместить файл метаданных SAML IdP (например, idpsaml-metadata.xml) в домашний каталог SAML SP, например, /etc/shibboleth/idpsaml-metadata.xml

Где путь входа в систему IdP

Ответ: Обычно SAML SP использует конечную точку HTTP-POST в качестве пути входа SAML IdP, например,

<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://IdP-Server-URL/idp/profile/SAML2/POST/SSO"/>

Вам также необходимо настроитьShibboleth IdP с аутентификацией пользователя LDAP.

/ opt / shibboleth-idp / conf / idp.properties

/ opt / shibboleth-idp / conf / ldap.properties

/opt / shibboleth-idp / conf / attribute-filter.xml

/ opt / shibboleth-idp / conf / attribute-resolver-full.xml

Независимо от того, есть ли что-то еще, что мне нужно настроить, чтобы заставить этих двух говорить

Ответ: Чтобы позволить SAML IdP обеспечивать аутентификацию идентичности для SAML SP, необходимо обменять и SAML IdP, и SAML SP.их метаданные.Затем вам нужно настроить SAML IdP с SAML SP.

SAML IdP /opt/shibboleth-idp/conf/metadata-providers.xml

/ opt / shibboleth-idp / conf / relying-party.xml

SAML SP

/ etc / shibboleth / shibboleth2.xml

/ etc / shibboleth / attribute-map.xml

Примечания:

Как собрать и запустить Shibboleth SAML IdP и SP с использованием контейнера Docker в репозитории GitHub предоставляет примеры файлов конфигурации для Shibboleth IdP и SP.