Как сделать сайт лучше - PullRequest
Новая
       3

Как сделать сайт лучше

2 голосов
/ 22 ноября 2011

У меня есть приложение, которое использует адреса электронной почты для аутентификации пользователя.

Я знаю, что некоторые университеты используют Shibboleth для аутентификации пользователей, и мне было интересно, каков процесс чтения электронных писем из базы данных университета, которая используется для Shibboleth. Обратите внимание, что мне не нужна аутентификация через Shibboleth, мне нужно только , чтобы иметь возможность читать адреса электронной почты.

Является ли это общим для всех университетов, использующих Shibboleth, или каждый из них уникален?

Будем весьма благодарны за любые ссылки на документацию о том, как сделать этот процесс. Спасибо.

Ответы [ 2 ]

1 голос
/ 23 ноября 2011

Shibboleth может быть настроен (сторона IdP) для выпуска атрибутов пользователя вместе с данными аутентификации, например адресом электронной почты пользователя. На стороне клиента, если вы идете через shibd, вам понадобится параметр в attribute-map.xml, который говорит: «сопоставить атрибут с OID x.y.z.a с переменной среды USERMAIL», а затем вы получите результат в этой переменной среды. Пример конфигурации уже должен содержать его.

Это будет одинаковым для всех, поскольку OID для «электронной почты» всегда одинаков, но вам придется договариваться с IdP (университетами) или их федерациями, чтобы они фактически передали вам этот атрибут.

0 голосов
/ 22 ноября 2011

Shibboleth используется многими учреждениями, но далеко не всеми. Многие используют Афины, прокси или распознавание IP, между прочим.

Насколько мне известно, адрес электронной почты пользователя не привязан напрямую к системе Shib. Когда пользователь пытается получить доступ к ресурсу, защищенному Shibboleth, его перенаправляют на страницу входа в свое учреждение для аутентификации. Они могут ввести свой адрес электронной почты для аутентификации или ввести имя пользователя, автоматический вход в систему на основе их IP-адреса или что-то еще.

Учреждение отправляет обратно членство посредством передачи данных Shib при успешном входе в систему, что-то вроде student@brown.ac.uk, но это не обязательно тот адрес электронной почты, который пользователь использовал для входа. Я предполагаю, что они могли бы послать это, но это не использовалось в системе, над которой я работал.

Shibboleth обычно используется для проверки того, что пользователь из организации, которая приобрела доступ к защищенному ресурсу, а не для идентификации конкретного пользователя из этой организации, поэтому электронная почта пользователя не нужна.

Не уверен, поможет ли это вообще: http://middleware.internet2.edu/eduperson/docs/internet2-mace-dir-eduperson-200806.html#eduPersonAffiliation

...