Я пытаюсь ознакомиться с Shibboleth 2.5.3 и службами федерации Active Directory (пробовал как 2.0, так и 3.0). Что я' Я хочу добиться, чтобы сервер Apache аутентифицировался в ADFS в качестве IdP с использованием Shibboleth в качестве SP. По этой причине я установил виртуальную машину Ubuntu с Apache и Shibboleth и виртуальную машину Windows Server с ADFS.
Если я правильно понял, мне нужно добавить Shibboleth в качестве доверяющей стороны доверия к ADFS. Для этого мне нужны метаданные, сгенерированные Shibboleth на https: //shibboleth/Shibboleth.sso/Metadata
. Однако это не работает, поскольку Shibboleth пытается получить метаданные из ADFS, как указано в теге shibboleth2.xml
( https://winserver.testdomain.com/adfs / services / trust
). Все, что ниже adfs / services
, возвращает ошибку HTTP 503. Ни одно из решений, рекомендованных в другом месте, похоже, не исправляет этого (перезапуск IIS, возня с сертификатами). Я тоже могу ' Не найти ни одного файла журнала, в котором записана ошибка 503.
Что я делаю не так? Наверное, я просто неправильно понимаю концепцию ...
Здесь действительно слишком много вопросов!
Я хотел бы обратиться к первому: сгенерируйте метаданные shibboleth SP.
Вы можете использовать инструмент: shib_metagen
(в Debian он находится в пакете shibboleth-sp2-utils
).
В shibboleth2.xml
] вы указываете, где находятся метаданные федерации. Если вы планируете разрешить SP загружать его из IdP, вам необходимо проверить документацию ADFS. Но вы также можете включить XML-метаданные IdP (сервера ADFS) в виде файла.
Тег SSO
в shibboleth2.xml не имеет ничего общего с метаданными: он содержит entityID
IdP. Метаданные находятся в элементе MetadataProvider
.
Вы следовали этому руководству: Пошаговое руководство по AD FS 2.0: федерация с Shibboleth 2 и InCommon Federation ?
Это старое, но принципы все еще действует.
Надеюсь, это даст вам некоторые подсказки.