Usar o Shibboleth com o ADFS não funciona

Question

Usar o Shibboleth com o ADFS não funciona

#1 resposta do (2 votos)
#2 resposta do (1 votos)

3

Estou tentando me familiarizar com o Shibboleth 2.5.3 e com os Serviços de Federação do Active Directory (tentei tanto o 2.0 quanto o 3.0). O que eu gostaria de alcançar é ter um servidor Apache autenticado contra o ADFS como IdP usando o Shibboleth como SP. Por essa razão, configurei uma VM do Ubuntu com o Apache e o Shibboleth e uma VM do Windows Server com o ADFS.

Se eu entendi corretamente, preciso adicionar o Shibboleth como uma confiança da terceira parte confiável ao ADFS. Para fazer isso, preciso de metadados gerados pelo Shibboleth em https://shibboleth/Shibboleth.sso/Metadata . No entanto, isso não funciona, pois o Shibboleth tenta obter Metadados do ADFS, conforme especificado na tag shibboleth2.xml <SSO> ( https://winserver.testdomain.com/adfs/services/trust ). Tudo abaixo de adfs/services retorna um erro HTTP 503. Nenhuma das soluções recomendadas em outros lugares parece corrigir isso (reiniciando o IIS, mexendo com certificados). Eu também não consigo encontrar nenhum arquivo de log que protocolos o erro 503.

O que estou fazendo de errado? Provavelmente, só não estou entendendo o conceito corretamente ...

single-sign-on shibboleth adfs

por Julian B 05.11.2015 / 13:45

2 respostas

2

Você seguiu este guia: AD FS 2.0 passo a passo Guia: Federação com o Shibboleth 2 e a Federação InCommon ?

É antigo, mas os princípios ainda são válidos.

Espero que isso lhe dê algumas dicas.

por 05.11.2015 / 19:48

Tags single-sign-on shibboleth adfs

O “caminho certo” para usar o sysdig? controlo remoto? Execute o script do PowerShell com o Service Start

score 1 · Accepted Answer

Existem muitas perguntas aqui!

Gostaria de abordar o primeiro: gerar os metadados SP do shibboleth.

Você pode usar a ferramenta: shib_metagen (no Debian ela está no pacote shibboleth-sp2-utils ).

No shibboleth2.xml , você especifica onde estão os metadados da federação. Se você planeja deixar o SP baixá-lo do IdP, você precisa verificar a documentação do ADFS. Mas você também pode incluir os metadados xml do IdP (o servidor ADFS), como um arquivo.

A tag SSO em shibboleth2.xml não tem nada a ver com metadados: ela contém o entityID do IdP. As coisas dos metadados estão no elemento MetadataProvider .