问题描述
我是 Shibboleth 的新手,想为我的客户提供现有系统的 Idp。目标是让其他 3rd 方应用程序登录以获得使用 SAML SSO 的无缝登录体验。
现在客户端已经配置了一个现有的 Shibboleth 服务提供者。
我一直在阅读有关 Authenication Configuration 的内容,特别是 PasswordAuthnConfiguration。 This article about using a relation DBMS 也很有用。但我觉得我可能误解了Idp的目的。
我是否需要为 Shibboleth Idp 提供和维护用户存储?如果是这样,Shibboleth 是否提供帐户创建/重置机制?还是应该向 Idp 添加外部身份验证提供程序而不维护用户存储?
解决方法
我是否需要为 Shibboleth Idp 提供和维护用户存储?
是的。 IdP 不维护帐户存储;相反,它连接到提供该存储的现有系统,其中最常见的是 LDAP 或 Active Directory,或 JAAS 支持的系统。
如果是,Shibboleth 是否提供帐户创建/重置机制?
不,您必须设计/构建这些部件。在撰写本文时,Shibboleth IdP 不提供帐户管理、注册、密码重置等功能,所有这些都应由您处理/设计为系统的扩展。
或者我应该向 Idp 添加外部身份验证提供程序而不维护用户存储?
对外部身份验证系统的支持仅由 IdP v4 提供 OOTB,在撰写本文时,其他外部 SAML2 身份提供商支持。在这种情况下,您的 IdP 将只是外部身份提供商的代理,负责处理帐户存储、注册等。