1. Zuhause
  2. Frage und Antwort
  3. Wie konfiguriere ich Shibboleth v3 IdP für WSO2 Identity Server?

Wie konfiguriere ich Shibboleth v3 IdP für WSO2 Identity Server?

2016-06-30 24 views
2

Ich versuche unseren WSO2 Identity Server (5.1.0) zu konfigurieren, um mit unserem Shibboleth Identity Provider v3 (3.2.1) Server zu kommunizieren.Wie konfiguriere ich Shibboleth v3 IdP für WSO2 Identity Server?

Wenn ich zu authentifizieren versuchen, bekomme ich einen Fehler in meiner Shibboleth IdP Protokollen, die mir zeigt, dass meine Metadaten für den WSO2 Server ist falsch:

2016-06-30 15:24:48,564 - DEBUG [org.opensaml.saml.metadata.resolver.impl.AbstractMetadataResolver:334] - Metadata backing store does not contain any EntityDescriptors with the ID: MYENTITYID 
2016-06-30 15:24:48,564 - DEBUG [org.opensaml.saml.metadata.resolver.impl.BasicRoleDescriptorResolver:198] - Metadata document did not contain a descriptor for entity MYENTITYID 
2016-06-30 15:24:48,564 - DEBUG [org.opensaml.saml.metadata.resolver.impl.BasicRoleDescriptorResolver:281] - Metadata document did not contain any role descriptors of type {urn:oasis:names:tc:SAML:2.0:metadata}SPSSODescriptor for entity MYENTITYID 
2016-06-30 15:24:48,564 - DEBUG [org.opensaml.saml.metadata.resolver.impl.BasicRoleDescriptorResolver:252] - Metadata document does not contain a role of type {urn:oasis:names:tc:SAML:2.0:metadata}SPSSODescriptor supporting protocol urn:oasis:names:tc:SAML:2.0:protocol for entity MYENTITYID

ich folgende Unterlagen aus dem WSO2 Website hier : https://docs.wso2.com/display/IS510/How+To%3A+Configure+Shibboleth+IdP+as+a+Trusted+Identity+Provider

ich die Shib IdP v3 mit anderen Diensten zu arbeiten, aber eine sehr neu in dieser Version und tief in Shibboleth ohnehin im allgemeinen nicht graben Parteien über die Einrichtung Attribut Auflösung und Freigabe für zu verlassen.

Könnte jemand mit mehr Erfahrung in der Shibboleth IdP-Arena oder der WSO2 Identity Server-Arena mich dazu bringen, dies zu lösen oder zumindest einzugrenzen, ob es sich um ein generelles IdP-Konfigurationsproblem oder ein WSO2-Metadatenproblem handelt?

Quelle

2016-06-30 Robert Rust

+0

Das Dokument scheint einige Probleme zu haben (etwas veraltet), WSO2 untersucht dies und wird sich bald bei Ihnen melden. –

Antwort

-1

Die Dokumentation der WSO2-Site basiert auf Shib IdP v2. Sie können es immer noch auf v3 verwenden, aber Sie müssten v2 Kompatibilität https://wiki.shibboleth.net/confluence/display/IDP30/NameIDGenerationConfiguration

Es besteht keine Notwendigkeit, sind ziemlich ähnlich für v3 die Schritte allerdings ermöglichen.

  1. AFAI kann sagen, Shibboleth unterstützt das nicht angegebene Name ID-Format. Es könnte möglich sein, es zu optimieren, um es zu unterstützen, aber ich habe keine Probleme gefunden, die es Shibboleth erlauben, das transiente Format zu verwenden. Ebenso sehe ich Grund, auch keine persistente Namens-ID zu verwenden. Daher muss die Konfiguration der Namens-ID nicht geändert werden.
  2. Die AttributeFilterPolicy ist jetzt in der Datei /conf/attribute-filter.xml (oder der von /conf/services.xml geladenen Attributfilterdatei) definiert. Diese Richtlinie gibt an, welche Attribute für jeden SP freigegeben werden können. Daher benötigen Sie für jeden Ihrer SPs einen Eintrag.
  3. Da IS noch keine Metadatendateien unterstützt, müssen Sie eine davon erstellen und unter /metadata/wso2is.xml speichern. Der auf der WSO2-Site ist ein guter Anfang. Denken Sie daran, dass das NameID-Format nichts tut, wenn es das nicht angegebene Format benötigt und dass Sie möglicherweise zusätzliche Attribute im SPSSODescriptor übergeben möchten. In meinem Fall musste ich Folgendes hinzufügen: AuthnRequestsSigned="true" WantAssertionsSigned="true". Ich habe auch die Signierung und Verschlüsselung von x509-Zertifikaten hinzugefügt, die WSO2IS verwenden wird, wenn sie Anfragen an Shibboleth sendet.
  4. Als nächstes müssen Sie Shibboleth sagen, dass Sie, dass die Metadaten-Datei verwenden möchten, indem so etwas wie das Hinzufügen von folgenden /conf/metadata-providers.xml <MetadataProvider id="wso2is" xsi:type="FilesystemMetadataProvider" metadataFile="%{idp.home}/metadata/wso2is.xml"> </MetadataProvider>
  5. Jetzt-Datei, wenn Sie die IdP auf WSO2IS konfigurieren, müssen Sie um die Ansprüche/Attribute, die Shibboleth mit WSO2IS teilt (wie in Shibboleth von /conf/attribute-filter.xml definiert), dem WSO2 IS-Dialekt zuzuordnen. Um dies zu tun, wechseln Sie zu Ihrer IdP-Konfiguration, erweitern Sie Anspruchskonfiguration, und erweitern Sie dann Basisanspruchskonfiguration. Dort können Sie so viele Anspruchszuordnungen hinzufügen, wie Sie benötigen. This is an example of the Claims Mappings

Ich hoffe, das hilft.

Quelle

2016-09-28 18:23:36 user1435517

 Verwandte Themen

  • Keine verwandten Themen^_^