Shibboleth2 als IdP

Schritt 1: Richten Sie Shibboleth2 als Identitätsanbieter ein

• Konfigurieren Sie in conf/relying-party.xml Dienstanbieter so
<MetadataProviderxsi:type="InlineMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" id="MyInlineMetadata">
  <EntitiesDescriptorxmlns="urn:oasis:names:tc:SAML:2.0:metadata">
    <md:EntityDescriptorxmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="<ENTITY_ID_FROM_PLUGIN>">
      <md:SPSSODescriptorAuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration=
          "urn:oasis:names:tc:SAML:2.0:protocol">
        <urn:oasis:names:tc:SAML:1.1:nameidformat:emailAddress</md:NameIDFormat>
        <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:https-POST"
          Location="<ACS_URL_FROM_PLUGIN>" index="1"/>
      </md:SPSSODescriptor>
    </md:EntityDescriptor>
  </EntitiesDescriptor>
</MetadataProvider>
• Stellen Sie sicher, dass Ihr Shibboleth-Server sendet E-Mail-Adresse des Benutzers in Name ID. Rufen Sie in attribute-resolver.xml das E-Mail-Attribut als ab Name ID:
<resolver:AttributeDefinitionxsi:type="ad:Simple" id="email" sourceAttributeID="mail">
   <resolver:Dependency ref="ldapConnector" />
   <resolver:AttributeEncoderxsi:type="enc:SAML2StringNameID" nameFormat="urn:oasis:names:tc:SAML:1.1:
    nameid-format:emailAddress"/>
</resolver:AttributeDefinition>

• Geben Sie in attribute-filter.xml das E-Mail-Attribut frei:
<afp:AttributeFilterPolicy id="releaseTransientIdToAnyone">
<afp:PolicyRequirementRulexsi:type="basic:ANY"/>
  <afp:AttributeRuleattributeID="email">
    <afp:PermitValueRulexsi:type="basic:ANY"/>
  </afp:AttributeRule>
</afp:AttributeFilterPolicy>

• Starten Sie den Shibboleth-Server neu.
• Sie müssen diese Endpunkte im miniOrange SAML-Plugin konfigurieren.

IDP-Entitäts-ID	https://<your_domain>/idp/shibboleth
Einzelne Login-URL	https://<your_domain>/idp/profile/SAML2/Redirect/SSO
X.509-Zertifikat	Das Public-Key-Zertifikat Ihres Shibboleth-Servers