更改 IdP,但无法识别属性

编程问答 2022-05-16

问题描述

我的雇主正在更新/更改我们的 IdP 服务器。旧服务器已经使用了大约 10 年,恕我直言,我们的网络工作人员明智地决定通过启动新服务器来“更新”,这样我们就可以单独更换现有的服务提供商,而不是一次性更换所有的服务提供商它们中的所有同时破裂。

是时候更新我从大约侏罗纪中期开始负责的供应商系统,大约在 4-6 个职位描述之前。我们在 2012 年将其设置为单点登录,从那时起它一直正常工作,尽管我们确实在 2017 年从 CentOS 更改为 RHEL。也许我应该提一下,我几乎忘记了我对 shibboleth 的所有了解。>

我们的旧 IdP 位于 shibboleth.ourdomain,而新 IdP 位于 federate.ourdomain。与在 IdP 服务器 (MicroSoft ADFS) 上工作的人进行了一些协商,我们决定我应该编辑 /etc/shibboleth/attribute-map.xml 和 /etc/shibboleth/shibboleth2.xml,替换总共出现的三个shibboleth.ourdomain 与 federate.ourdomain ,然后获取一个新的元数据文件来替换旧的元数据文件。 (实际上,当然,我首先将旧文件复制到与 *.xml.old 完全不同的位置,然后创建了相应的 *.xml.new 文件一个 shell 脚本来放置新文件,并创建一个相应的还原脚本到将 .old 文件重新复制回 /etc/shibboleth。shell 例程自然包括切换元数据文件。)

第一次尝试失败了,SP 似乎仍在寻找我删除了指向的旧 IdP,但是我们负责操作的人想出了将 MetadataProvider 元素从

<MetadataProvider type="XML" file="Metadata/shibboleth.ourdomain.xml"/> 

<MetadataProvider type="XML" uri="https://federate.ourdomain/FederationMetadata/2007-06/FederationMetadata.xml"
           backingFilePath="Metadata/shibboleth/federate.ourdomain.xml" reloadInterval="7200"/>

现在我们获得了新 IdP 的登录页面,但 SP 无法识别数据。我确信“属性和断言”从旧的 IdP 到新的 IdP 都没有变化,但显然有些不同。

我们现在已经达到(又一个)我明确知道发生了什么的许多点之一。我一直假设(而且我们都知道那里会发生什么)IdP 将成功登录重定向回 SP,以及允许 SP 确定谁正在登录并做出相应行为的标头。我确实想到 IdP 可能只是在用户的浏览器中设置 cookie。我认为从我所看到的一些事情来看,它是重定向回 SP 场景而不是 cookie 场景,但如果我错了,请告诉我。 (我是自己写的,而不是咨询知识渊博的人。)IdP(两者)都在发送“eppn”属性,但是如果应用程序从 Apache 获取 eppn,那么处理程序通常会记录它收到的 eppn,无论是已知用户还是未知用户。我已经确认它是通过使用旧的 IdP 登录的,但是当登录来自新的 IdP 时,不会创建任何日志条目。

我对我们问题的天真理解是这样的:

  1. 我们知道我(例如)可以使用我们的旧 IdP 登录
  2. 我们知道我无法使用我们的新 IdP 登录
  3. 我们相信新旧 IdP 发送相同的属性和断言。
  4. 但是,无论是 Apache 还是我们的未更改应用程序,都不会以相同的方式对待从我们的 IdP 传递的属性 我现在真正需要的是一种查看发送和接收哪些属性和断言的方法。特别是,看起来我们需要一种方法来查看我们为 eppn 获得的值。

我们目前也有 <Handler type="Session" Location="/Session" showAttributeValues="true"/> 在 shibboleth2.xml.new 的 ApplicationDefaults 元素中,但我找不到任何有用的东西。我在 /var/log/httpd/access_log、/var/log/httpd/ssl_access_log 或 /var/log/httpd/ssl_request_log 以及我知道的任何其他日志文件中都没有找到任何相关条目。还是 showAttributeValues="true" 只适用于 https://SPserver.ourdomain/Shibboleth.sso/Session在这种情况下,这对我的问题没有帮助,因为我根本没有使用新的 IdP 登录

是否有日志可以显示 SP 上的 Apache 处理程序接收到的断言?

有没有人知道无知的(我)的线索?

谢谢, 保罗

解决方法

暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!

如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@)

apacheconfigurationconfigurationconfigurationsaml-2.0shibbolethsingle-sign-on