Shibboleth 服务提供者 - 如何填充 REMOTE_USER 变量答案

【问题标题】：Shibboleth Service Provider - How to populate REMOTE_USER variableShibboleth 服务提供者 - 如何填充 REMOTE_USER 变量
【发布时间】：2017-06-09 18:54:16
【问题描述】：

环境：Linux / Apache / Shibboleth SP 2.6

我正在寻求一些有关映射的帮助，以便填充 REMOTE_USER 变量。我不确定我究竟需要向 attribute-map.xml 文件添加什么才能实现这一点。

在 shibboleth2.xml 文件中，我们有 ..

<ApplicationDefaults entityID="https://tap-jmistst-rv02.usmstest.doj.gov/shibboleth"
                     REMOTE_USER="eppn persistent-id targeted-id"
                     cipherSuites="ECDHE+AESGCM:ECDHE:!aNULL:!eNULL:!LOW:!EXPORT:!RC4:!SHA:!SSLv2">

我不明白的是，为了将 NameID 的值映射到 REMOTE_USER，我需要在 attribute-map.xml 文件中添加什么

当我点击我的应用程序 URL 时，它会重定向到 ADFS，然后我看到 NameID 填充了我在 Shibboleth transaction.log 中的用户名。我想要做的是使用该值设置 REMOTE_USER 。

非常感谢任何帮助

【问题讨论】：

标签： adfs shibboleth

【解决方案1】：

上述 ApplicationDefaults 元素中的 REMOTE_USER 属性表示 SP 将用于填充 Apache 的 REMOTE_USER 的已解码属性列表（按优先顺序排列）。

为了使用 Assertion NameID 填充它，您需要首先将其解码为一个属性（此处命名为 persistent-id，但可以随意更改它）

<Attribute name="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" id="persistent-id">
    <AttributeDecoder xsi:type="NameIDAttributeDecoder" formatter="$NameQualifier!$SPNameQualifier!$Name" defaultQualifiers="true"/>
</Attribute>

然后使用

将其分配给 REMOTE_USER

REMOTE_USER="persistent-id"

在你的

<ApplicationDefaults>

【讨论】：

感谢 Yiannis 的详细回答，非常感谢。这就是我认为的答案，但它仍然对我不起作用。我会从头到尾检查我的配置，试图找出为什么 REMOTE_USER 仍然没有被填充。
您可以尝试以下操作：* 使用 FF SAML Tracer 插件查看 SAML 响应，因为它正在传送到您的 SP 并验证 NameID 是否存在于主题中 * 检查您的 transaction.log 到查看 NameID 是否映射到 persistent-id (alt. 访问 YOURFQDN/Shibboleth.sso/Session * 使用简单的 python/jsp/php 脚本打印 apache 标头并查看填充的内容
再次感谢 Yiannis。我很沮丧并继续使用 mod_auth_mellon，但如果我没有更好的运气，我可能会回来。

【解决方案2】：

要在 Linux（CentOS 和 RHEL 6 和 7）中填充 REMOTE_USER 参数，请使用 mod_auth_ntlm_winbind 配置 apache。然后您可以将参数传递给您的应用程序。

要配置 mod_auth_ntlm_winbind，请参考：https://hemakhema.blogspot.ae/2017/07/enable-sso-login-in-linux.html

【讨论】：