@ Джо Ленсиони и все, кто интересуется Шибболет
Страницы вашего сайта должны выглядеть одинаково на каждой странице.
Относительно Shibboleth и SSO. Важно отметить, с какой ролью связана ваша организация. Являетесь ли вы поставщиком удостоверений - IdP (аутентифицирующим пользователя и затем отправляющим ответ SP), или вы являетесь поставщиком услуг - SP (который предоставит аутентификацию на основе ответа и атрибутов, отправленных IdP.
Если вы SP, у вас есть все, что вы хотите, чтобы связать своих пользователей с IdP для входа в систему. Многие SP создают свою собственную страницу WAYF (откуда вы), которая перенаправляет пользователя на страницу входа в IdP.
Если вы являетесь IdP, у вас должна быть страница входа в систему, которая выглядит знакомой пользователю, чтобы он мог войти в систему, а затем быть перенаправлен на SP с атрибутами, которые необходимы для предоставления SP надлежащего доступа.
Что касается фишинг-атак, важно поддерживать актуальность метаданных Shibboleth. Я полагаю, что многие федерации рекомендуют загружать метаданные каждые (1) час.
На многие вопросы Шибболет можно ответить здесь: https://spaces.internet2.edu/display/SHIB2/Home
Надеюсь, это поможет вам.