Single-Sign-On

將 Shibboleth 與 ADFS 一起使用不起作用

  • November 5, 2015

我正在嘗試熟悉 Shibboleth 2.5.3 和 Active Directory 聯合服務(嘗試了 2.0 和 3.0)。我想要實現的是讓 Apache 伺服器使用 Shibboleth 作為 SP 對 ADFS 作為 IdP 進行身份驗證。出於這個原因,我設置了一個帶有 Apache 和 Shibboleth 的 Ubuntu VM,以及一個帶有 ADFS 的 Windows Server VM。

如果我理解正確,我需要將 Shibboleth 作為依賴方信任添加到 ADFS。為此,我需要 Shibboleth 在https://shibboleth/Shibboleth.sso/Metadata. 但是,這不起作用,因為 Shibboleth 試圖從shibboleth2.xml <SSO>標記 ( https://winserver.testdomain.com/adfs/services/trust) 中指定的 ADFS 獲取元數據。以下所有內容都adfs/services返回 HTTP 503 錯誤。其他地方推薦的解決方案似乎都沒有解決這個問題(重新啟動 IIS,擺弄證書)。我也找不到任何處理 503 錯誤的日誌文件。

我究竟做錯了什麼?可能,我只是沒有正確理解這個概念……

這裡的問題真的太多了!

我想解決第一個問題:生成 shibboleth SP 元數據。

您可以使用該工具:(shib_metagen在 Debian 中它位於shibboleth-sp2-utils軟體包中)。

shibboleth2.xml您指定聯合元數據的位置。如果您打算讓 SP 從 IdP 下載它,則需要查看 ADFS 文件。但您也可以將 IdP(ADFS 伺服器)的 xml 元數據包含為文件。

shibboleth2.xml 中的SSO標記與元數據無關:它包含entityIDIdP 的。元數據的東西在MetadataProvider元素中。

引用自:https://serverfault.com/questions/734141