Пытаюсь ознакомиться с Shibboleth 2.5.3 и службами федерации Active Directory (пробовал и 2.0, и 3.0). Я бы хотел добиться, чтобы сервер Apache аутентифицировался в ADFS в качестве IdP с использованием Shibboleth в качестве SP. По этой причине я установил виртуальную машину Ubuntu с Apache и Shibboleth и виртуальную машину Windows Server с ADFS.
Если я правильно понимаю, мне нужно добавить Shibboleth в качестве доверия проверяющей стороны к ADFS. Для этого мне нужны метаданные, созданные Shibboleth на https://shibboleth/Shibboleth.sso/Metadata. Однако это не работает, поскольку Shibboleth пытается получить метаданные из ADFS, как указано в shibboleth2.xml <SSO> тег (https://winserver.testdomain.com/adfs/services/trust). Все ниже adfs/services возвращает ошибку HTTP 503. Ни одно из решений, рекомендованных в другом месте, похоже, не исправляет этого (перезапуск IIS, возня с сертификатами). Я также не могу найти файл журнала, который протоколирует ошибку 503.
Что я делаю не так? Наверное, я просто не понимаю концепцию правильно ...
Вы следовали этому руководству: Пошаговое руководство по AD FS 2.0: федерация с Shibboleth 2 и InCommon Federation?
Он старый, но принципы все еще в силе.
Надеюсь, это даст вам некоторые подсказки.
Здесь действительно слишком много вопросов!
Я хотел бы обратиться к первому: сгенерируйте метаданные shibboleth SP.
Вы можете использовать инструмент: shib_metagen (в Debian он находится в shibboleth-sp2-utilsпакет).
в shibboleth2.xml вы указываете, где находятся метаданные федерации. Если вы планируете разрешить SP загружать его из IdP, вам необходимо проверить документацию ADFS. Но вы также можете включить XML-метаданные IdP (сервера ADFS) в виде файла.
В SSO тег в shibboleth2.xml не имеет ничего общего с метаданными: он содержит entityID IdP. Метаданные находятся в MetadataProvider элемент.