基于shibboleth的分布式认证之IDP配置

最新推荐文章于 2024-09-25 08:23:41 发布
最新推荐文章于 2024-09-25 08:23:41 发布
阅读量5.6k 收藏 1
点赞数
分类专栏: 认证相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sjbup/article/details/8840443
版权

IDP安装配置文档

本文主要说明IDP的安装过程,适用于有一定apache和tomcat部署基础的人员。

安装IDP

1:首先解压shibboleth-identityprovider-2.3.3-bin.zip,进入文件件之后,install.bat文件。进行IDP安装


填写安装路径,回车,我这里就是安装在f:\opt-idp中。如果文件夹已经存在,则会有提示,输入yes回车即可。

2: 配置IDP域名:这里输入IDP对应的域名即可。如果没有域名,则输入IP。回车。

 

第三步需要输入证书密码。我这里输入dsideal:


如果不报错,就说明IDP安装成功。


系统安装成功之后,形成的目录结构如上。其中,需要配置的主要是conf目录中的文件。War文件夹中形成的是war文件,该文件我们可以不用他的,而是用我们自行编译的文件放置到tomcat中。

安装完毕idp之后,我们需要对idp进行相应的配置:

<rp:AnonymousRelyingPartyprovider="http://10.10.8.31:8080/idp/shibboleth"defaultSigningCredentialRef="IdPCredential"/>

   

    <rp:DefaultRelyingParty provider="http://10.10.8.31:8080/idp/shibboleth"defaultSigningCredentialRef="IdPCredential">

这里我们没有采用ssl配置。

默认的idp的标示文件是在idp安装目录下的metadata文件夹下的

Idp-metadata.xml文件。

编辑该文件。使得其中的应用名称和地址正确。如果不使用ssl。则将所有的https更改为http。将8443端口改为相应的应用端口。

配置IDP与其信任的SP

         配置IDP信任的SP主要是通过IDP根目录中/conf/relying-party.xml 文件配置,在MetadataProvider 中添加:

<metadata:MetadataProviderid="IdPMD" xsi:type="metadata:FilesystemMetadataProvider"

                                  metadataFile="e:\shibboleth\idp/metadata/idp-metadata.xml"

                                  maxRefreshDelay="P1D" />

        <metadata:MetadataProviderid="school1SP" xsi:type="metadata:FileBackedHTTPMetadataProvider"

                         metadataURL="http://10.10.8.31/Shibboleth.sso/Metadata"

                         backingFile="e:/shibboleth/idp/metadata/sp-school1.xml">

                   </metadata:MetadataProvider>

                   <metadata:MetadataProviderid="school2SP"xsi:type="metadata:FileBackedHTTPMetadataProvider"

                         metadataURL="http://10.10.8.30/Shibboleth.sso/Metadata"

                         backingFile="e:/shibboleth/idp/metadata/sp-school2.xml">

                   </metadata:MetadataProvider>        

配置IDP使用CAS验证

1:编辑handler.xml文件中的login handlers部分

 

  <!-- Login Handlers -->

    <ph:LoginHandlerxsi:type="ph:RemoteUser">

       <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</ph:AuthenticationMethod>

         <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</ph:AuthenticationMethod>

</ph:LoginHandler>

 

2:将IDP作为CAS客户端进行接入

这里其实就是简单的将IDP应用作为一个CAS客户端进行接入即可。

参见《统一认证系统接入文档》

<filter>

                   <filter-name>filterchainproxy</filter-name>

                   <filter-class>dsidealsso.FilterChainProxy</filter-class>

                   <init-param>

                            <param-name>casServerLoginUrl</param-name>

                            <param-value>

                                     http://10.10.8.33:8080/dsssoserver/login

                            </param-value>

                   </init-param>

                   <init-param>

                            <param-name>serverName</param-name>

                            <param-value>http://localhost:8030</param-value>

                   </init-param>

                   <init-param>

                            <param-name>casServerUrlPrefix</param-name>

                            <param-value>http://10.10.8.33:8080/dsssoserver</param-value>

                   </init-param>                 

                   <init-param>

                            <param-name>encoding</param-name>

                            <param-value>utf-8</param-value>

                   </init-param>

                   <init-param>

                            <param-name>nofilter</param-name>

                            <param-value>/shibboleth**</param-value>

                   </init-param>

         </filter>

         <filter-mapping>

                   <filter-name>filterchainproxy</filter-name>

                   <url-pattern>/*</url-pattern>

         </filter-mapping>

IDP自身配置

如果使用IDP没有域名,则需要对IDP配置文件进行配置

IDP用户属性传递

IDP能够向用户传递那些属性主要取决于attribute-resolver.xml文件。

在该文件中定义数据源和响应的用户属性查询语句,然后通过<dc:Column>标签定义查询语句中的列与相关属性的对应关系。这里就以简单属性为例进行说明。

<resolver:DataConnector id="mySIS"xsi:type="dc:RelationalDatabase">

       <dc:ApplicationManagedConnectionjdbcDriver="oracle.jdbc.driver.OracleDriver"        jdbcURL="jdbc:oracle:thin:@222.27.106.22:1521:ORCL "

 jdbcUserName="kpdssso"

 jdbcPassword="kpdssso" />

       <dc:QueryTemplate>

           <![CDATA[

                SELECT * FROM T_SYS_LOGINPERSONWHERE LOGIN_NAME = '$requestContext.principalName'

           ]]>

       </dc:QueryTemplate>

       <dc:Column columnName="LOGIN_NAME"attributeID="loginName" />

       <dc:Column columnName="REAL_NAME"attributeID="realName" />   </resolver:DataConnector>

通常,这里的数据源和CAS的数据源应该是一致的。

查询出相关的属性之后,就需要定义属性的解析方式了。这里以上文定义的查询数据为例进行说明:

<resolver:AttributeDefinitionxsi:type="ad:Simple" id="loginName"sourceAttributeID="loginName">

       <resolver:Dependency ref="mySIS" />

       <resolver:AttributeEncoder xsi:type="enc:SAML1String"name="urn:mace:dir:attribute-def:loginName" />

       <resolver:AttributeEncoder xsi:type="enc:SAML2String"name="urn:oid:2.5.4.43d" friendlyName="loginName" />

   </resolver:AttributeDefinition>          

         <resolver:AttributeDefinitionxsi:type="ad:Simple" id="realName"sourceAttributeID="realName">

       <resolver:Dependency ref="mySIS" />

       <resolver:AttributeEncoder xsi:type="enc:SAML1String"name="urn:mace:dir:attribute-def:realName" />

       <resolver:AttributeEncoder xsi:type="enc:SAML2String"name="urn:oid:2.5.4.44" friendlyName="realName" />

   </resolver:AttributeDefinition>          

这里兼顾了saml1和saml2版本的解析。目前我们采用的是saml2机制,所以,saml解析解析可以省略不写。

这里的name属性必须是唯一的。SP是通过name属性获得用户信息的。

这里,IDP可以向SP发送的用户属性就配置完毕了。

叔叔兜里有糖
关注
专栏目录
Shibboleth idp-configure-with-sp
07-16
Shibboleth idp-configure-with-sp
Shibboleth IDP 的安装和部署配置步骤(Tomcat部署)
wwwcomy的程序猿感悟
08-17 691
Shibboleth是个基于SAML标准的单点登录实现。[url]http://shibboleth.net/products/[/url] SAML2的简介见: 1. [url=http://www.cnblogs.com/shuidao/p/3463947.html]我眼中的SAML[/url] 2. [url=https://www.oasis-open.org/standard...
IDP 开源项目教程
最新发布
gitblog_00785的博客
09-25 602
IDP 开源项目教程 IDP IDP is an open source AI IDE for data scientists and big data engineers. 项目地址: https://gitcode.com/g...
ubuntu14.04 安装Shibboleth idp
weixin_34279184的博客
07-25 280
为什么80%的码农都做不了架构师?>>> ...
iPhone开发日记:申请开发者认证IDP
04-27 237
要使用Apple 的SDK开发iPhone/iPod Touch软件或者游戏,需要首先注册一个开发者账号。如果需要在App Store上出售,则需要进行开发者认证。 SDK免费,开发者认证个人版$99/Year,企业版$299/Year. 第一步:注册 Apple ID。 如果已经有Apple ID,可以略过。 第二步:申请注册iPhone开发人员。 注册地址:http://devel
Shibboleth 2 IDP安装(windows xp)
lelf的专栏
10-15 1429
一、环境准备 1、安装Java1.5以上 2、安装tomcat6 3、安装ANT1.7.1 二、步骤 1、运行IDP_HOME/ant.bat(运行前,请先修改resources/WEB-INF/web.xml),将file://$IDP_HOME$/conf/internal.xml; file://$IDP_HOME$/conf/service.xml;改为fi
基于Shibboleth和SAML的跨校统一身份认证系统
10-26
结合跨域统一身份认证的基础技术平台Shibboleth和跨域统一身份认证的技术标准SAML,设计出跨校统一身份认证系统。该系统可实现用户“异地访问—本地认证”功能,避免了异地认证的繁琐,简化了业务流程;身份联盟各子...
design-shibboleth-idp-theme:Shibboleth IdP> 3.2的Bootstrap Italia模板
05-22
设计Shibboleth-IDP主题 Shibboleth IdP> 3.2的Bootstrap Italia模板 Shibboleth身份提供程序(IdP版本> 3.2)CSS / html模板,建立在。 该项目通过Designers Italia 定义的模式和组件继承了定义的所有功能,组件,...
基于Shibboleth的在线实验平台多资源访问认证 (2017年)
05-26
以基于OpenEdX的在线实验平台为例,解决了平台中统一认证以及复杂资源授权的问题,验证了采用Shibboleth进行用户统一认证,通过REST API接口以及授权码的发布可实现复杂资源共享,并在OpenEdX上以XBlock的方式实现
docker-shibboleth-idp
07-02
码头工人-shibboleth-idp 实现 Shibbolethj IdP 的简单项目。 创建 Shibboleth IdP。 建造 docker build -t shibboleth-idp . docker run -i -t shibboleth-idp 注意: sshkey和sshkey.pub只是举例。 使用前...
CAS与Shibboleth集成:Shibboleth-idpShibboleth-sp安装指南
- 配置Shibboleth-IdP的`idp.properties`文件,包括设置认证源为CAS服务器。 3. Shibboleth-SP安装: - 在另一台Linux服务器上安装Apache Tomcat和JDK。 - 安装Shibboleth-Service-Provider软件包,同样遵循官方...
IDP配置手册及实例
01-17
IDP是juniper公司推出的防护产品,本文档介绍IDP配置和维护类的文档。
Shibboleth搭建IDP服务并集成OpenLDAP实现单点登陆(一)
SuperCrrazy的博客
09-07 3617
本问讲述在win10 64位操作系统搭建 jdk1.8  tomcat8 1.访问Shibboleth官网,下载最新的IDP包,下载地址如下: https://shibboleth.net/downloads/identity-provider/latest/shibboleth-identity-provider-3.3.3.zip 将文件解压,找到解压后文件,进入到bin文件下  找到...
Shibboleth搭建idp和阿里云SSO集成-资料汇总
你是我一生的追求
10-16 1932
sso配置 1.idp安装,配置 nameid为啥没有生效 attribute-filter.xml配置文件没有写对 <!--value="https://signin.aliyun.com/xxxxxx/saml/SSO" 要和主账号ID的sso配置相同 --> <AttributeFilterPolicy id="aliyun"> <Po...
探索Shibboleth认证:安全、灵活的身份验证解决方案
gitblog_00050的博客
04-25 370
探索Shibboleth认证:安全、灵活的身份验证解决方案 去发现同类优质开源项目:https://gitcode.com/ 是一个开源项目,致力于提供一种高效且安全的方式来管理网络应用中的身份验证和授权。它基于 Shibboleth 协议,该协议被广泛用于高等教育和其他大型机构中,以实现跨组织的安全单点登录(SSO)。 项目简介 Shibboleth Authentication 是一个中间件系...
Shibboleth 用户身份验证的通道和数据安全
UneDatabase的博客
10-05 149
在重定向过程中,应用程序将当前请求的 URL 作为参数传递给身份提供者,以便在用户身份验证成功后能够返回到原始请求的页面。同时,Shibboleth 提供了加密通信、数据完整性验证和用户隐私保护等措施,以确保用户身份信息的安全性和保密性。它提供了一种安全的通道,用于在不同的应用程序之间传输用户身份信息,并确保数据的机密性和完整性。本文将详细介绍 Shibboleth 用户身份验证的通道以及相关的数据安全措施,并提供相应的源代码示例。它提供了用户授权和属性发布的机制,用户可以选择共享哪些个人属性信息。
基于shibboleth分布式认证之SP配置
DaemonSu
04-23 5439
本文为shibboleth SP配置文档。其中涉及到apache整合反向代理tomcat的配置,SSL配置以及访问控制等。这不是本文的重点,所以,本文只是表述了配置方式,如果要更改相应的配置或者进行其他个性化配置,参考相应的配置文档。 对应的SP的配置,以及如何同DS,IDP建立shibboleth联盟,则需要参照对应的SP和IDP,DS说明文档。本文也是给出的最基本的配置。 1:安装apac
SSO场景系列:实现Shibboleth+Ldap到阿里云的单点登录
weixin_34185560的博客
01-12 1112
Shibboleth简介 Shibboleth是一个基于标准的,实现组织内部或跨组织的网页单点登录的开源软件包。它允许站点为处于私有保护方式下的受保护的在线资源做出被通知的认证决定。 Shibboleth软件工具广泛使用联合的身份标准,主要是OASIS安全声称标记语言(SAML),来提供一个联合单点登录和属性交换框架。一个用户用他的组织的证书认证,组织(...
深入理解passport-shibboleth认证策略及其安装配置
2. passport-shibboleth 是一个为 Node.js 应用设计的身份验证模块,它基于流行的 passport.js 认证框架。passport.js 是一个灵活的 Node.js 应用程序身份验证中间件,可以轻松地与 Express 或类似的框架一起使用,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值