我试图熟悉Shibboleth 2.5.3和Active Directory联合服务(尝试2.0和3.0)。 我想要达到的目标是让Apache服务器使用Shibboleth作为SP作为IdP对ADFS进行身份validation。 出于这个原因,我使用Apache和Shibbolethbuild立了一个Ubuntu虚拟机,以及一个带有ADFS的Windows Server虚拟机。
如果我理解正确,我需要将Shibboleth作为ADFS的依赖方信任。 为了做到这一点,我需要通过https://shibboleth/Shibboleth.sso/Metadata生成Shibboleth的元数据。 但是,这不起作用,因为Shibboleth试图按照shibboleth2.xml <SSO>标记( https://winserver.testdomain.com/adfs/services/trust )中的规定从ADFS获取元数据。 低于adfs/services所有内容都会返回HTTP 503错误。 没有推荐的其他解决scheme似乎修复(重新启动IIS,摆弄证书)。 我也找不到任何协议503错误的日志文件。
我究竟做错了什么? 也许,我只是不正确地把握这个概念…
这里真的有太多的问题了!
我想解决第一个问题:生成shibboleth SP元数据。
您可以使用这个工具: shib_metagen (在Debian中,它位于shibboleth-sp2-utils软件包中)。
在shibboleth2.xml指定联合元数据的位置。 如果您打算让SP从IdP下载,则需要检查ADFS文档。 但是,您还可以将IdP(ADFS服务器)的xml元数据作为文件包含在内。
shibboleth2.xml中的SSO标签与元数据无关:它包含IdP的entityID。 元数据事物在MetadataProvider元素中。
您是否按照本指南进行操作: AD FS 2.0分步指南:与Shibboleth 2以及InCommon Federation联合 ?
这是古老的,但原则仍然有效。
希望这会给你一些线索。