Shibboeth IDPの設置と配置配置の手順(Tomcat配置)
2890 ワード
ShibbroethはSAML標準に基づくシングルポイント登録で実現します.http://shibboleth.net/products/
SAML 2のプロフィールをご覧ください.
1.私の目の中のSAML
2.OASIS公式文書
二言三言SAMLを雑談する:
SAML 2のWeb SSO(ブラウザベースのワンポイント登録は、appのユーザ認証を含まない)モデルには、2つの重要な役割:Service Provider(SP)とIdentity Provider(IDP)が含まれる.
流れから言えば、oAuthと少し似ていますが、tokenメカニズムは大きく異なり、SAMLはTokenを特定のxml schemaで表しました.
簡単なSAML WEB SSOフロー:二つのサイトを仮定する:ウェブサイトA(SP)とウェブサイトB(IDP)
ユーザーがウェブサイトAの保護されたリソースにアクセスし、ウェブサイトAはSAML Requestを生成し、ユーザーにこのRequestをウェブサイトBに提出させ、ウェブサイトBはユーザーが登録されていないことを発見し、ユーザーにログインさせ、ユーザーがログインした後にSAML Resonseを発生させ、それをウェブサイトAに送り、ウェブサイトAはSAML Reponseを解析し、ユーザーコンテキストを確立する.
以上はログインの流れですが、SSOがどのように実現されているかを確認しました.実際には、ユーザがログインしていない場合は、IDPにジャンプして認証(集約認証)するので、ユーザが初めてIDP登録した時に発生するSessionが機能するはずです.この原理はJASIG CASと一致しています.
ShibbroethはSPとIDPのインストールパッケージを提供しています.ここではShibbroethだけを説明します.
IDPのTomcatは配置をインストールします.
準備材料:
1.Tomcat 8.0(前のバージョンは試していません.理論的に展開できます.)
2.shibbolleth-indentity-provider-3.zip (http://shibboleth.net/downloads/identity-provider/latest/ )
3.すでに据え付けられたLDAPサービス
インストール手順:
1.解凍ダウンロードのshibroeth IDPは任意のディレクトリに行きます.例えばC:\Temp\shibroeth-indentity-provider-3.
2.binディレクトリのinstall.batを実行して、ドメイン名、インストールディレクトリ(デフォルトc:/opt/shibroeth-indp)、Cookieパスワードなどの情報を入力して、ここのドメイン名はできるだけlocalhostを使わないでください.
注:第1ステップ目の解凍カタログと第2ステップ目の本当のインストール後のディレクトリは似ていますので、紛らわしいです.インストール後に解凍ディレクトリを削除することをお勧めします.実はこの解凍カタログのbinディレクトリは他の機能があります.
3.Tomcatの配置
3.1 Tomcatのhttpsを有効にします.これは説明しません.具体的には「tomcat https一方向認証」を検索してください.
3.2 Tomcatデフォルト8080ポートとHttpsの8443ポートを80と443に変更します.
3.3配置されたShibboeth idpは、Tomcatのserver.xmlのhostノードに、contextノードを追加する:
3.4 shibbollethのインストール経路がデフォルトのc:/opt/shibbolleth-indpでない場合、Tomcat起動パラメータにパラメータを追加する必要があります.
4.1 LDAPを配置し、shibroethはデフォルトで多種の認証方式を提供しています.プロファイルは全部C:\shibroeth-indp\conf\authnにあります.プロファイルのガイド関係は以下の通りです.
general-authn.xml
↓
password-authn-config.xml
↓
ldap-authn-config.xml
↓
Place Holder
したがって、LDAP接続の構成は最終的にC:\opt\shibroeth-indp\conf\ldap.propertiesに配置すれば良いです.
4.2 Service Providerを追加します.ここに既設のウェブサイトがあります.https://www.testshib.org/あなたのshibbollethがインストールされているかどうかを判断する検証方法を提供しました.ステップに沿って一歩ずつ来ればいいです.
Shibboeth公式サイトWiki:https://wiki.shibboleth.net/confluence/display/IDP30/Installation
SAML 2のプロフィールをご覧ください.
1.私の目の中のSAML
2.OASIS公式文書
二言三言SAMLを雑談する:
SAML 2のWeb SSO(ブラウザベースのワンポイント登録は、appのユーザ認証を含まない)モデルには、2つの重要な役割:Service Provider(SP)とIdentity Provider(IDP)が含まれる.
流れから言えば、oAuthと少し似ていますが、tokenメカニズムは大きく異なり、SAMLはTokenを特定のxml schemaで表しました.
簡単なSAML WEB SSOフロー:二つのサイトを仮定する:ウェブサイトA(SP)とウェブサイトB(IDP)
ユーザーがウェブサイトAの保護されたリソースにアクセスし、ウェブサイトAはSAML Requestを生成し、ユーザーにこのRequestをウェブサイトBに提出させ、ウェブサイトBはユーザーが登録されていないことを発見し、ユーザーにログインさせ、ユーザーがログインした後にSAML Resonseを発生させ、それをウェブサイトAに送り、ウェブサイトAはSAML Reponseを解析し、ユーザーコンテキストを確立する.
以上はログインの流れですが、SSOがどのように実現されているかを確認しました.実際には、ユーザがログインしていない場合は、IDPにジャンプして認証(集約認証)するので、ユーザが初めてIDP登録した時に発生するSessionが機能するはずです.この原理はJASIG CASと一致しています.
ShibbroethはSPとIDPのインストールパッケージを提供しています.ここではShibbroethだけを説明します.
IDPのTomcatは配置をインストールします.
準備材料:
1.Tomcat 8.0(前のバージョンは試していません.理論的に展開できます.)
2.shibbolleth-indentity-provider-3.zip (http://shibboleth.net/downloads/identity-provider/latest/ )
3.すでに据え付けられたLDAPサービス
インストール手順:
1.解凍ダウンロードのshibroeth IDPは任意のディレクトリに行きます.例えばC:\Temp\shibroeth-indentity-provider-3.
2.binディレクトリのinstall.batを実行して、ドメイン名、インストールディレクトリ(デフォルトc:/opt/shibroeth-indp)、Cookieパスワードなどの情報を入力して、ここのドメイン名はできるだけlocalhostを使わないでください.
注:第1ステップ目の解凍カタログと第2ステップ目の本当のインストール後のディレクトリは似ていますので、紛らわしいです.インストール後に解凍ディレクトリを削除することをお勧めします.実はこの解凍カタログのbinディレクトリは他の機能があります.
3.Tomcatの配置
3.1 Tomcatのhttpsを有効にします.これは説明しません.具体的には「tomcat https一方向認証」を検索してください.
3.2 Tomcatデフォルト8080ポートとHttpsの8443ポートを80と443に変更します.
3.3配置されたShibboeth idpは、Tomcatのserver.xmlのhostノードに、contextノードを追加する:
<Context docBase="C:/opt/shibboleth-idp/war/idp.war" path="idp"
privileged="true"
antiResourceLocking="false"
swallowOutput="true" />3.4 shibbollethのインストール経路がデフォルトのc:/opt/shibbolleth-indpでない場合、Tomcat起動パラメータにパラメータを追加する必要があります.
-Didp.home=< ><context-param>
<param-name>idp.home</param-name>
<param-value>J:/Downloads/Shi bboleth/IdP</param-value>
</context-param>4.1 LDAPを配置し、shibroethはデフォルトで多種の認証方式を提供しています.プロファイルは全部C:\shibroeth-indp\conf\authnにあります.プロファイルのガイド関係は以下の通りです.
general-authn.xml
↓
password-authn-config.xml
↓
ldap-authn-config.xml
↓
Place Holder
したがって、LDAP接続の構成は最終的にC:\opt\shibroeth-indp\conf\ldap.propertiesに配置すれば良いです.
4.2 Service Providerを追加します.ここに既設のウェブサイトがあります.https://www.testshib.org/あなたのshibbollethがインストールされているかどうかを判断する検証方法を提供しました.ステップに沿って一歩ずつ来ればいいです.
Shibboeth公式サイトWiki:https://wiki.shibboleth.net/confluence/display/IDP30/Installation