Shibboleth3 als IdP

Schritt 1: Richten Sie Shibboleth3 als Identitätsanbieter ein

• Entfernen Sie in conf/idp.properties das Kommentarzeichen und setzen Sie „idp.encryption.optional' zu wahr.
     z.B. idp.encryption.optional = true
• Konfigurieren Sie in conf/metadata-providers.xml Dienstanbieter Wie unten.
<MetadataProvider xmlns:samlmd="urn:oasis:names:tc:SAML:2.0:metadata"
  id="miniOrangeInLineEntity" xsi:type="InlineMetadataProvider" sortKey="1">
  <samlmd:EntityDescriptor ID="entity" entityID="<SP-EntityID / Issuer from Service Provider Info tab in plugin.>"
    validUntil="2020-09-06T04:13:32Z">
    <samlmd:SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true"
    protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
      <samlmd:NameIDFormat>
        urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
      </samlmd:NameIDFormat>
    <samlmd:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    Location="<ACS (AssertionConsumerService) URL from Step1 of the plugin under Identity Provider Tab.>"
      index="1" />
    </samlmd:SPSSODescriptor>
    </samlmd:EntityDescriptor>
</MetadataProvider>
• Entfernen Sie in conf/saml-nameid.properties das Kommentarzeichen und legen Sie den Standardwert fest NameID as E-Mail-Adresse so
idp.nameid.saml2.default=urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
• Suchen Sie in conf/saml-nameid-xml nach shibboleth.SAML2NameIDGenerators. Kommentieren Sie das aus shibboleth.SAML2AttributeSourcedGenerator Bean und kommentieren Sie alle anderen Ref-Beans.
<!-- SAML 2 NameID Generation -->
<util:list id="shibboleth.SAML2NameIDGenerators">
  <!--<ref bean="shibboleth.SAML2TransientGenerator" /> -->
  <!-->ref bean="shibboleth.SAML2PersistentGenerator" /> -->
  <bean parent="shibboleth.SAML2AttributeSourcedGenerator"
  p:format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"
  p:attributeSourceIds="#{ {'email'} }" />
</util:list>
• Stellen Sie sicher, dass Sie definiert haben Attributdefinition in conf/attribute-resolver.xml.
<!-- Note: AttributeDefinitionid must be same as what you provided in attributeSourceIds in conf/saml-nameid.xml -->
<resolver:AttributeDefinitionxsi:type="ad:Simple" id="email" sourceAttributeID="mail">
  <resolver:Dependency ref="ldapConnector" />
  <resolver:AttributeEncoderxsi:type="enc:SAML2String" name="email" friendlyName="email" />
</resolver:AttributeDefinition >

<resolver:DataConnector id="ldapConnector" xsi:type="dc:LDAPDirectory" ldapURL="%{idp.authn.LDAP.ldapURL}"
  baseDN="%{idp.authn.LDAP.baseDN}" principal="%{idp.authn.LDAP.bindDN}"
  principalCredential="%{idp.authn.LDAP.bindDNCredential}">
  <dc:FilterTemplate>
    <!-- Define you User Search Filter here -->
    <![CDATA[ (&(objectclass=*)(cn=$requestContext.principalName)) ]]>
  </dc:FilterTemplate>

  <dc:ReturnAttributes>*</dc:ReturnAttributes>
</resolver:DataConnector>
• Upewnij się, że AttributeFilterPolicy definiert in conf/attribute-filter.xml.
<afp:AttributeFilterPolicy id="ldapAttributes">
<afp:PolicyRequirementRulexsi:type="basic:ANY"/>
  <afp:AttributeRuleattributeID="email">
    <afp:PermitValueRulexsi:type="basic:ANY"/>
  </afp:AttributeRule>
</afp:AttributeFilterPolicy>

• Starten Sie den Shibboleth-Server neu.
• Sie müssen diese Endpunkte im miniOrange SAML-Plugin konfigurieren.

IDP-Entitäts-ID	https://<your_domain>/idp/shibboleth
Einzelne Login-URL	https://<your_domain>/idp/profile/SAML2/Redirect/SSO
Einzelne Abmelde-URL	https://<your_domain>/idp/shibboleth
X.509-Zertifikat	Das Public-Key-Zertifikat Ihres Shibboleth-Servers