摘 要 Shibboleth是一套优秀的开源SAML单点登录软件,可以与OpenLDAP集成方便地实现用户身份管理和单点登录功能。
关键词 开源 SAML SSO Shibboleth OpenLDAP
2.3 Service Provider在WEB服务器IIS上的部署
(3) 使用https://samltest.id/进行验证测试
1 前言
Shibboleth提供了一整套开源的SAML SSO解决方案,其中主要的两个产品Service Provider(SP)、Identity Provider(IDP)相当与客户端和服务器端。我在写这篇文章的时候,Shibboleth Service Provider的稳定版本是V3.0.4,开发语言是C/C++;Shibboleth Identity Provider的稳定版本是 V3.4.6,开发语言是Java。由于大版本都是3,所以官方文档上简称它们为SP3和IDP3。
Shibboleth的官方网站是:https://www.shibboleth.net/
官方文档首页:
https://wiki.shibboleth.net/confluence/display/SP3/Home
https://wiki.shibboleth.net/confluence/display/IDP30/Home
我为什么要写这篇文章呢?主要是Shibboleth产品比较复杂,而配置基本上都是需要手工修改XML文件,难度比较大。对初步接触到SAML SSO单点登录的技术人员可能不一定能参照着官方文档搭建出自己的SAML系统来。所以,我经过自己的摸索,成功地在Virtual Box中的Windows系统上搭建了SAML系统,并把具体的思路、方法与步骤详细地写下来,供有兴趣的技术人员参考。
2 Service Provider搭建
SAML协议需要有SP服务器和IDP服务器配合才能完成用户的身份验证。打个比方,IDP相当于公安机关,负责发放居民身份证和验证居民身份证;SP相当于银行,而客户访问网站的行为相当于我们个人到银行办理业务,银行需要在办理业务之前验证我们的居民身份证信息。
当客户第一次打开由SP保护的网页