与 Shibboleth SP 的 OKTA 集成问题

Question

我正在做一个 POC，我需要将 Shibboleth SP 与 OKTA idp 提供程序集成。我已完成 OKTA 官方网站上记录的所有以下步骤。

1. 安装 Shibboleth 服务提供程序 2.配置网络服务器使用Shibboleth 3.配置 Shibboleth 以保护特定文件夹 创建 Okta SAML 2.0 模板应用程序 4.修改 Shibboleth 以使用从 Okta 应用程序获得的元数据 5.修改 Shibboleth 中的 attribute-map.xml 文件 设置适当的标头变量 6.重启一切

但是第 5 步中缺少一些细节，我需要修改 atrtribute-map.xml。当我触发受保护的 URI（托管在 apache 上）时，它会被重定向到 OKTA 登录页面。但是在用户输入用户 ID 和密码并单击登录后，我的浏览器上出现了一个微调器，它永远不会将我带到托管在 Apache 上的受保护站点 URI。高度赞赏在 Shibboleth SP 中修复此属性映射的任何线索。

Answer 1

如果页面没有被重定向到 SP，他的问题不一定是 attributes-map.xml

• 端点配置可能不正确。查看 {web app uri}/Shibboleth.sso/Metadata 查看端点 URL 是否正确定义。
• 如果 entityID 定义正确，请检查 Shibboleth2.xml，这是 Shibboleth 正在保护的 Web 应用程序。
• 检查 {web app uri}/Shibboleth.sso/Session 如果所有属性都是从 Okta 发送的，则会显示。您也可以通过更改 Shibboleth2.xml 使其显示值，因为它只是 POC。
• 最后是 attributes-map.xml，您可以在其中按照 Okta 的约定配置属性。此处预配置了一些默认属性，例如 NameID。您可以在 attribute-map.xml 和 /Shibboleth.sso/Session 中查看格式以及相应使用的代码。例如 formatter="$NameQualifier!$SPNameQualifier!$Name"

如果您要添加自定义属性，只要名称与 Okta 发送的属性名称匹配，如下所示的简单元素应该可以工作。

Answer 2

此问题已通过在 OKTA 端进行正确配置解决。OKTA 提供 sam2.0 模板应用程序用于与 shibboleth 集成。此模板应用程序的以下参数已正确配置。

• 回发网址 -
• 名称 ID 格式 - 瞬态
• 收件人 -
• 观众限制 -
• authnContextClassRef - PasswordProtectedTransport
• 响应 - 已签名
• 断言 - 签名
• 请求 - 压缩
• 目的地 -
• 属性语句 - 用户名|${user.userName}

那么我们的整合就成功了